Plan van Aanpak Informatievoorziening en informatiebeveiliging

Plan van Aanpak Informatievoorziening en informatiebeveiliging

18 december 2014


Inhoud

Actie-overzicht bij plan van aanpak Informatievoorziening en informatiebeveiliging 1.

Inleiding

5 11

2. Visie 2.1 Integrale visie op informatiebeveiliging 2.2 Fasering 2.3 Eisen aan informatievoorziening en –beveiliging 2.4 Samenwerking met andere organisaties

13 13 14 14 15

3. Aanbevelingen commissies vertaald in maatregelen 3.1 Governance en capaciteit voor IV en IB 3.1.1 Governance 3.1.2 Capaciteit en competenties bij informatiebeveiliging 3.1.3 Capaciteit en competentie bij informatievoorziening en ICT 3.2 Rol van medewerkers en techniek bij Informatiebeveiliging 3.2.1 Informatiebeveiligingsbeleid: ISMS 3.3 Adequate aansturing en prestaties van de sourcing partner 3.4 Informatiesystemen die aansluiten bij de wensen v gebruikers 3.5 Agenda

17 17 17 18 18 19 20 21 22 22

4.

25

Kosten

Bijlage I

27

3


4


Actie-overzicht bij plan van aanpak Informatievoorziening en informatiebeveiliging

Deze tabel geeft een overzicht van de gerealiseerde en geplande acties in het kader van informatievoorziening en informatiebeveiliging. De acties worden in het plan van aanpak nader toegelicht. Actie

Maatregelen informatievoorziening en

nummer

beveiliging

1

24 verschillende

Status

Q4

Q1

Q2

Q3

Q4

Q1

Q2

Q3

Q4

2014

2015

2015

2015

2015

2016

2016

2016

2016

Afgerond

V

Lopend

X

2017

Doorlopend

informatiebeveiligingsmaatregelen zijn afgerond Zie bijlage I 2

Vaststellen datamodel met

X

beveiligingsklassen 3

Inrichten jaarlijks proces en opstellen In

Gepland

X

Aanscherping informatiebeveiligingsbeleid

Gepland

X

Inrichten structurele informatiebeveiliging,

Gepland

X

control Statement RvB 4 5

X

X

X

X

X

rollen en verantwoordelijkheden, implementeren ISMS 6

Beheren en actualiseren van het informatiebeveiligingsbeleid en richtlijnen

Gepland

X

X


Actie


nummer

beveiliging

7

Bepalen lijnverantwoordelijkheid en data

Status

Lopend

Q4

Q1

Q2

Q3

Q4

Q1

Q2

Q3

Q4

2014

2015

2015

2015

2015

2016

2016

2016

2016

X

2017

Doorlopend

X

beveiligingsklassen in 9-vlaksmodel 8

Verwerken van alle maatregelen in nieuwe

Gepland

X

X

X

X

versie van informatiebeveiligingsplan 9

Sluitend maken in-, door- en uitstroom

Gepland

X

X

X

Verbeteren bewustzijn informatiebeveiliging

Gepland

X

X

X

Ontwikkelen en toepassen e-learning

Gepland

X

X

Uitvoeren business impact analyse

Gepland

X

X

Ontwikkelen Business Continuity

Gepland

t.b.v. autorisatie beheer 10 11

X X

X

X

X

X

X

informatie beveiliging 12 13

Management, incl rapportage en monitoring 14

Ontwikkelen en uitrollen

Gepland

X

X

X

X

X

X

X

X

X

X

X

informatiebeveiliging Risk Control Framework 15

Opzetten en uitvoeren RCF rapportages

Gepland

16

Certificering tegen ISO 27001

Gepland

Opzetten autorisatie beheer i.c.m. nieuwe

Gepland

17

beveiligingsklassen

X

X


Actie


nummer

beveiliging

18

Vastgestelde beveiligingsklassen in

Status

Q4

Q1

Q2

Q3

Q4

Q1

Q2

Q3

Q4

2014

2015

2015

2015

2015

2016

2016

2016

2016

Gepland

X

X

X

Gepland

X

X

X

X

X

X

X

2017

Doorlopend

X

systemen en databases doorvoeren 19

Activeer auditing op applicaties en

X

systemen 20

Automatiseren email encryptie voor

Lopend

X

X

uitwisseling van vertrouwelijke gegevens. (integratie met Outlook) 21

Sterke authenticatie (2FA) voor externe

Gepland

toegang tot NZa gegevens (ook als vervanging tokens) 22

Borgen sluitende identificatie en autorisatie

Gepland

X

X

processen 23

Security eisen borgen in beheer en

Gepland

X

X

X

Gepland

X

X

X

projecten 24

Analyseren van huidige (en waar nodig creëren van geanonimiseerde en gepseudonimiseerde) testdata

25

Security Architectuur opstellen, als

Gepland

X

X

X

onderdeel van de IT Architectuur 26

Security eisen en baselines opstellen voor applicaties en systemen

Gepland

X

X

X

X

X

X


Actie


nummer

beveiliging

27

Borgen management proces voor

Status

Q4

Q1

Q2

Q3

Q4

Q1

Q2

Q3

Q4

2014

2015

2015

2015

2015

2016

2016

2016

2016

2017

Doorlopend

Gepland

X

X

X

Lopend

X

X

X

informatie-incidenten 28

Eenduidig overzicht huidige IT & Security landschap (Applicaties, interfaces, systemen, netwerken, fysieke locaties en key functionaliteit, patches, uptdates)

29

Inrichten Vulnerability management, en

Gepland

X

X

Gepland

X

X

X

X

periodieke scans op het NZa netwerk 30

Borgen alle IT beheersprocessen en ITIL,

X

BISL en ASL standaarden 31

Zonering en segmentering NZa netwerk en

Gepland

X

X

X

Gepland

X

X

X

systemen inrichten 32

Inrichten intrusion detection, monitoring en

X

X

X

X

prevention

33

Invoering van de nieuwe

Lopend

X

X

bewerkersovereenkomst in de contracten met de externe partijen 34

Invoeren security en risico rapportage en management

Gepland

X

X


Actie


nummer

beveiliging

35

Risico analyse gegevensuitwisseling met

Status

Lopend

Q4

Q1

Q2

Q3

Q4

Q1

Q2

Q3

Q4

2014

2015

2015

2015

2015

2016

2016

2016

2016

X

X

X

X

derden 36

Risico analyse, implementatie en borging fysieke toegangsbeveiliging en procedures bij de NZa & leveranciers

Gepland

X

X

X

X

2017

Doorlopend


10


1. Inleiding

De commissie Borstlap1, Mazars2 en Onderzoeksbureau AEF3 hebben vanuit verschillende invalshoeken constateringen en aanbevelingen gedaan om de informatievoorziening en informatiebeveiliging van de NZa te verbeteren. De onderzoekers schetsen een beeld waarin de beheersing en beveiliging van informatie de afgelopen jaren op veel aspecten voldoet, maar ook nog tekortkomingen vertoont, waardoor het geheel als ontoereikend wordt beoordeeld. AEF concludeert dat de NZa in haar bedrijfsvoering in een groot aantal opzichten in control is en dat de informatievoorziening grotendeels op orde is. Echter, AEF geeft ook aan dat de bedrijfsvoering op een aantal punten kwetsbaar is. AEF geeft aan dat de benadering van de informatievoorziening nogal instrumenteel is, waarbij het strategisch belang van deze onderwerpen in brede zin binnen de organisatie wordt onderschat; de ontwikkelingen op het gebied van ICT vinden op te grote afstand van de primaire processen plaats, waardoor het risico bestaat dat applicaties niet voldoen aan de behoeften van toekomstige gebruikers. Uit de EDP-audit4 die Mazars heeft uitgevoerd, komt de aanbeveling dat “op het niveau van de IT-architectuur en IT-infrastructuur (de ITwerkelijkheid) aanvullende maatregelen noodzakelijk zijn. Het geplande informatie security management systeem (ISMS) is nog niet ingevoerd en geoperationaliseerd. Daarnaast is om gegevensverzamelingen intern te kunnen delen en hergebruiken een complex en moeilijk te beheersen autorisatiemechanisme ontstaan. Daarbij zijn de uitgangspunten niet gebaseerd op het ‘need to know’ principe.” De commissie Borstlap komt tot de conclusie dat de beveiliging op papier toereikend, is maar dat de normen onvoldoende leven. Daarom doet de commissie een drietal specifieke aanbevelingen: − 1. Waarborg op alle niveaus de gedragsregels inzake ICT-gebruik met inbegrip van expliciete sancties bij overtreding van de regels. − 2. Maak ICT-beveiliging expliciet onderdeel van de werving en beoordeling van managers bij de NZa. − 3. Benoem krachtige, gezaghebbende security officers, die direct rapporteren aan de algemene leiding. De minister onderschrijft in haar brief van 2 september de conclusies van de commissie Borstlap en vraagt bij het nemen van maatregelen ook de uitgevoerde EDP-audit te gebruiken. In dit plan van aanpak komen de aanbevelingen van alle drie de onderzoeken terug, wordt zichtbaar welke acties al zijn afgerond en hoe de aanvankelijk ontoereikende situatie inmiddels is omgezet in een beheerste informatiebeveiliging. Het bereiken van een optimale situatie vergt nog een forse investering in visie, kwaliteit en techniek en gedrag. 1

Rapport commissie Borstlap naar het intern functioneren van de NZa, 1 september 2014. 2 Rapport Mazars, EDP AUDIT informatiebeveiliging NZa (vertrouwelijk) 1 augustus 2014. 3 Rapport AEF, evaluatie Wet Marktordening gezondheidszorg en NZa, kenmerk: GV278/3/457. 4 EDP staat voor Electronic Data Processing. In een EDP audit informatiebeveiliging heeft Mazars een diagnose, evaluatie en beoordeling uitgevoerd op opzet, bestaan en werking van de informatiebeveiligingsprocessen en maatregelen bij de NZa.

11


In dit plan van aanpak worden de maatregelen die hiervoor nodig zijn beschreven. De NZa heeft er in haar aanpak voor gekozen allereerst de meest urgente en kwetsbare onderdelen aan te pakken. Nu wordt gewerkt aan een bestendig informatiebeleid voor de lange termijn. De verschillende onderdelen die beschreven staan in dit plan van aanpak zijn of worden de komende periode opgepakt in het programma ‘NZa op Koers’. Dit programma borgt de uniformiteit in de verschillende plannen van aanpak en bewaakt de voortgang. Daarnaast ziet het erop toe dat alle acties aansluiten op de NZa strategie en de visie op informatievoorziening en informatiebeveiliging. Per deelproject is (of wordt op korte termijn) bepaald wat de doelstellingen, de scope, de acties en de verantwoordelijkheden zijn. De programmamanager rapporteert maandelijks (en indien nodig vaker) via de stuurgroep van het programma aan de Raad van Bestuur over de voortgang van het project. Eind 2015 wordt een eerste, externe tussenevaluatie van de realisatie van het project informatievoorziening en informatiebeveiliging uitgevoerd, eind 2016 volgt een uitgebreide evaluatie. De doelstellingen zoals deze gesteld worden in de deelprojecten, vormen het uitgangspunt voor deze evaluaties. Gekeken wordt of alle acties zijn uitgevoerd maar ook of de gestelde doelen zijn behaald. De integratie van DBC-Onderhoud en DIS in de NZa Per 1 januari 2015 valt DBC-Onderhoud bestuurlijk onder de NZa. De daadwerkelijke integratie wordt medio 2015 afgerond. Bezien wordt of de capaciteit en competenties van beide organisaties wat betreft informatievoorziening en ICT complementair zijn. Daarom worden momenteel de overlappende en complementaire capaciteiten in beeld gebracht en worden de technologie en systemen uit beide organisaties geïnventariseerd. Ook wordt een informatie-architectuur voorbereid waarin de beste delen van elke organisatie gebruikt worden voor de nieuwe NZa. De intentie is om zonder formele reorganisatie toch vast samen te werken als één ICT-unit. Deze aanpak versnelt de vereiste opbouw van kennis en capaciteit en verkleint de extra formatiebehoefte. De volledige integratie tot één ICTorganisatie staat gepland voor medio 2015. Commissie Elias Naast deze rapporten heeft de NZa ook de uitkomsten van de parlementaire onderzoekscommissie Elias in ogenschouw genomen bij het opstellen van het plan van aanpak. Deze aanbevelingen hebben voornamelijk betrekking op grote ICT projecten (van 5 miljoen en hoger) en zijn daarmee vaak niet van toepassing op de NZa. Een viertal bevindingen van de commissie is wel relevant en meegenomen in dit plan van aanpak. Het gaat hier om de bevindingen met betrekking tot de faalkans van (te) grote projecten, het waken voor isolement van IT-projecten los van de lijnsturing, de eis van voortgangsinformatie aan de algemene leiding en de waarschuwing dat voorgenomen beleid vooraf op uitvoerbaarheid moet worden getoetst. Leeswijzer Hoofdstuk 2 beschrijft de NZa visie op informatievoorziening en – beveiliging. In hoofdstuk 3 geven we aan hoe we de aanbevelingen uit de diverse rapporten hebben vertaald in maatregelen. In hoofdstuk 4 vindt u een overzicht van de kosten die de voorgenomen acties op het terrein van informatieveiligheid met zich meebrengen.

12


2. Visie

In dit hoofdstuk bespreken we de visie van de NZa op informatievoorziening en informatiebeveiliging. De NZa verzamelt en beheert data voor analyses en onderzoeken die de basis vormen voor haar beleid, toezicht en handhaving. Hiervoor moet de informatie helder, correct en volledig zijn. De data leveren de feitelijke onderbouwing voor besluiten en zorgen daarmee voor maatschappelijk draagvlak, en bieden transparantie over het handelen van de NZa. Voor een goede informatievoorziening moet de ICTarchitectuur en infrastructuur op een hoger plannen worden gebracht. Onderdeel daarvan is het uitbreiden van het instrumentarium op het gebied van data- en business analytics. Voor goede informatiebeveiliging is bovendien de volledige invoering van ISMS (toelichting in paragraaf 3.3) nodig. Informatie is belangrijk voor de NZa. De aard van de data en informatie waar de NZa mee werkt is deels vertrouwelijk en soms zelfs zeer vertrouwelijk. De eisen aan de kwaliteit van de beveiliging om ongeoorloofd gebruik te voorkomen zijn daardoor hoog. Tegen die achtergrond lijkt het ons gewenst dat één van de nieuwe leden van de Raad van Bestuur de rol van Chief Information Officer (CIO) gaat vervullen. De huidige interim voorzitter realiseert op korte termijn een tijdelijke invulling door het benoemen van een programmamanager. De NZa werkt niet op een eiland, maar in intensieve relatie met zorgpartijen en met (semi-) overheidsinstellingen. Bij diverse partijen vragen we informatie op en delen we informatie. De NZa hecht aan kennisdeling en samenwerking en wil informatie die zich daarvoor leent ontsluiten voor andere partijen. We intensiveren daarom het overleg en de samenwerking met stakeholders. De NZa bevindt zich in een dynamische omgeving: regels veranderen, steeds meer data is openbaar, steeds meer organisaties werken met data. De NZa wil daarop inspelen en flexibel zijn, het informatiebeleid is daarom cyclisch van aard en wordt continue getoetst op relevantie en actualiteit.

2.1 Integrale visie op informatiebeveiliging Een belangrijk onderdeel van de informatievoorziening betreft de informatiebeveiliging. Daarop gaan we hierna expliciet in. De NZa heeft gekozen voor een integrale benadering van informatiebeveiliging. Dit omvat zes uitgangspunten: 1. Veiligheids- en risicobewustwording. Deze wordt gestuurd vanuit de leiding en gevoed vanaf de werkvloer. 2. Interne en externe beveiligingsnormen zijn expliciet, bekend en gedragen door de hele organisatie. De normen zijn aangepast aan de context waarbinnen de NZa functioneert. 3. Organisatorische, fysieke en IT-technische beveiliging zijn afgestemd. Alle drie moeten op vergelijkbaar niveau zijn. 4. De beveiliging is zowel qua architectuur als uitvoerend beheer op het juiste niveau gebracht en gehouden. Een onberispelijk niveau dat past bij een toezichthouder. 5. Gedrag is bepalend voor de feitelijke veiligheid. Dit betekent dat gewenst gedrag bekend is, geoefend en getoetst wordt en ongewenst gedrag wordt gecorrigeerd. 13


6. Beveiliging wordt permanent gemonitord, geëvalueerd en bijgesteld. Hiervoor zijn interne protocollen, capaciteit en competenties, maar ook externe auditing aanwezig.

2.2 Fasering Er is gekozen voor een aanpak van de informatiebeveiliging in twee fasen. In de eerste fase, die begin 2014 is gestart, zijn de meest urgente beveiligingsrisico’s aangepakt. Er is met grote spoed en inzet gewerkt aan het verbeteren van de informatiebeveiliging. Dit proces had noodgedwongen een sterk ad hoc karakter. De aanpak heeft geleid tot een informatiebeveiliging die als beheerst kan worden gekenschetst. De tweede fase start begin 2015 en is gericht op het structureel verbeteren van de informatie- en beveiligingsarchitectuur, het volledig invoeren van het Information Security Management System (ISMS), de professionalisering van de regie-organisatie en het opdrachtgeverschap. De verregaande outsourcing van ICT diensten is gepaard gegaan met verlies aan ICT kennis. Deze is nu onvoldoende voor de aansturing van de sourincg partner. De ICT kennis en kunde wordt weer gedeeltelijk opgebouwd voor een betere regie over de outsourcing. De informatie- en ICT-architectuur wordt een afgeleide van de visie op informatievoorziening en beveiliging. We ontwikkelen in de eerste helft van 2015 een nieuwe samenhangende constructie: − De NZa-visie beschrijft vanuit de taakopdracht van de minister van VWS wat de NZa doet, met wie we samenwerken en hoe we die opdracht vertalen. − Bedrijfsprocesmodel beschrijft hoe we de taakopdracht in uit te voeren processen vertalen, wat de onderlinge samenhang is, waar we onze input vandaan halen en aan wie we onze output leveren, wie voor deze processen verantwoordelijk zijn en welke eisen we aan de processen stellen. − Bedrijfsinformatiemodel: beschrijving van de data die we verzamelen, de bewerkingen die we hiermee uitvoeren (validatie, classificatie, groeperen, analyseren) en de systemen waarmee we dat doen. − Data-architectuur: de beschrijving van de aard, groepering, kwaliteit, gebruiksmogelijkheden van de data die we verzamelen, bewerken en distribueren. Inclusief de metadata die we toevoegen om het gebruik en beheer van de data te sturen. − ICT-architectuur: de beschrijving van de bestaande informatiesystemen en de veranderingen die we de komende jaren doorvoeren om te komen tot een hedendaagse, gelaagde architectuur. Daarin onderscheiden we toepassingen (applicaties, kantoorautomatisering), gebruiksinstrumenten (analysetooling, beveilingstooling), systeemsoftware (besturingssystemen, databasemanagementsystemen, communicatieprotocollen) en infrastructuur (communicatie-apparatuur, servers en opslag media).

2.3 Eisen aan informatievoorziening en –beveiliging Omdat de aard van de data en informatie die de NZa gebruikt verschilt per proces en toepassing, verschillen ook de eisen voor het verzamelen, valideren, bewerken, opslaan en distribueren van data. Een segmentering van data naar eisen in termen van betrouwbaarheid, beschikbaarheid en beveiliging is noodzakelijk. Hier wordt aan gewerkt.

14


De NZa moet ten aanzien van informatiebeveiliging en informatievoorziening aan veel eisen voldoen: − Als ZBO moet de NZa voor informatievoorziening voldoen aan de Baseline Informatie Rijksdienst (BIR), de Wet Bescherming persoonsgegevens (Wbp) en de Wet Openbaarheid van Bestuur (WOB). − Als verwerker van vertrouwelijke informatie die ook samenwerkt met commerciële bedrijven, moet de NZa voldoen aan de normen van ISO 27001 en 27002. − Vanwege het – in voorkomende gevallen – verwerken van zorginhoudelijke, patiëntgerelateerde data moet de NZa voldoen aan de normen van NEN 7510;2011 voor informatiebeveiliging in de zorg, NEN 7512;2005 voor de vertrouwensbasis voor gegevensuitwisseling en NEN 7513;2010 voor het vastleggen van acties op elektronische patiëntendossiers (logging).

2.4 Samenwerking met andere organisaties Voor het uitwisselen van informatie en data heeft de NZa in de afgelopen jaren afspraken gemaakt met veel verschillende organisaties. De NZa streeft ernaar om data eenmalig uit te vragen en neemt deel aan (overleg over) gezamenlijk aan te leggen gegevensbestanden voor de zorgsector. Hiermee wordt voorkomen we dat wij functionaliteiten van informatiesystemen nogmaals ontwikkelen en vice versa. De NZa zet in op versterking van de toegankelijkheid en bruikbaarheid van informatie voor alle partijen. Daarom luisteren we naar wat partijen van ons willen weten en op welke wijze ze onze data/informatie willen gebruiken. Hierbij streeft de NZa niet per definitie naar een zelfstandige rol maar wil zij graag op professionele en toetsbare wijze bijdragen.

15


16


3. Aanbevelingen commissies vertaald in maatregelen

In dit hoofdstuk bespreken we de maatregelen die wij hebben genomen om de aanbevelingen uit de verschillende rapporten op te volgen.

3.1 Governance en capaciteit voor informatievoorziening en -beveiliging 3.1.1 Governance De externe onderzoekers bevelen aan om de besturing van de informatievoorziening op RvB niveau te verankeren en om de betrokkenheid van de lijndirecties verder te vergroten. Er moet een professionele informatiebeveiligingsfunctie worden ingericht en de kwaliteit van de aansturing van de ICT outsourcing moet worden verhoogd. Informatieverwerking is een primair proces van de NZa geworden. De Raad van Bestuur beoordeelt daarom of de systemen de bedrijfsprocessen optimaal ondersteunen en of wordt voldaan aan eisen van continuïteit, beschikbaarheid en beveiliging van informatie. De CIO neemt initiatieven om het bewustzijn, de vaardigheden en competenties van alle NZa-medewerkers (dus inclusief leiding) over informatievoorziening, systeemgebruik en datagebruik op het vereiste niveau te brengen en te houden en ontwikkelt hiervoor beleid. Ook bewaakt hij/zij het belang van informatievoorziening en- beveiliging in de besluitvorming van de RvB. Andere maatregelen op het terrein van governance zijn: − In het eerste kwartaal van 2015 stellen we het werkprogramma voor een goede data architectuur op. − Op basis van deze architectuur wordt eind 2015 het informatieplan herzien. − De RvB en directeuren stellen het informatieplan vast. Daardoor wordt het plan organisatie breed gedragen en waar relevant gekoppeld aan de strategisch-inhoudelijke plannen van de NZa. ICT wordt niet langer gezien als eigendom van de directie Bedrijfsvoering en Informatie, maar als fundament voor het werk van de hele NZa. − Elke directeur heeft op gebied van gegevensmanagement vanaf 2015 eigen verantwoordelijkheid. Zij moeten specificeren aan welke eisen de gegevens die de directie verzamelt moeten voldoen en welke medewerkers toegang hebben tot deze gegevens. Ook zien zij toe op de naleving van bewaar- en vernietigingstermijnen. De centrale sturing ligt bij de RvB/CIO waarmee wordt voorkomen dat differentiatie in beleid of eilanden ontstaan.

17


− De besturing van de informatievoorziening wordt op strategisch, tactisch en uitvoerend niveau ingevuld volgens het erkende TOGAF negenvlaksmodel5. Dit borgt dat de zorg voor de diverse aspecten (negen vlakken) voor informatievoorziening expliciet is toebedeeld. Er wordt een quickscan uitgevoerd om te kijken welke van deze vlakken relevant zijn voor de NZa. Het schema waarin voor elk van de relevante taken een verantwoordelijk NZa-functionaris is aangewezen, ronden we begin 2015 af, daarbij wordt ook de organisatorische integratie van DBC-Onderhoud meegenomen. 3.1.2 Capaciteit en competenties bij informatiebeveiliging De kwaliteit en capaciteit van de informatiebeveiligingsfunctie is op dit moment onder andere verhoogd door de inhuur van een externe beveiligingsfunctionaris. Met de bestaande beveiligingsfunctionarisfunctie wordt daarmee het beveiligingsbureau (security office) gevormd dat rechtstreeks rapporteert aan de RvB. De werving van een permanente beveiligingsfunctionaris start in december. De beveiligingsfunctionaris stuurt de informatie- en databeveiligingsrollen in de directies aan en adviseert de lijndirecties bij hun beveiligingsverantwoordelijkheden zonder deze verantwoordelijkheid over te nemen. 3.1.3 Capaciteit en competentie bij informatievoorziening en ICT De NZa heeft haar ICT-uitvoering uitbesteed en voert zelf de functionele regie hierop. Voor een goede technische aansturing is eigen kennis noodzakelijk. De sourcing partner moet worden gestuurd op prestaties en aangeboden oplossingen en offertes moeten goed worden beoordeeld. Daarmee kan ook voorkomen worden dat externe technische consultants moeten worden ingehuurd. Daarom worden in 2015 de technische ICT-kennis, capaciteit en competenties op adequaat niveau gebracht. Dit vergt beschikbaarheid van architecten op het gebied van bedrijfsprocesmodellering en informatie- en datamodellen. Deze architecten moeten het technisch kader opleveren waarmee de NZa inzicht en overzicht over haar informatievoorziening opbouwt en waarmee de sourcing partner en andere leveranciers adequaat kunnen worden aangestuurd. Daarnaast biedt dit kader de basis voor de beveiligingsrichtlijnen van de beveiligingsfunctionaris van de NZa. De RvB/ CIO wordt eindverantwoordelijk voor de architectuur. Er wordt gewerkt aan samenwerkingscontracten met onafhankelijke adviesbureaus en zo mogelijk met andere (semi) overheidsinstellingen om deze functies op het gewenste niveau in te vullen. De prestaties van de sourcing partner en andere leveranciers worden in 2015 beter gestuurd en bewaakt. Naast een adequate architectuur zijn daarom ook eigen monitoringcapaciteit en vaardigheden vereist. Deze functie en capaciteit moet worden opgebouwd. Door het samenwerken en samenvoegen van de ICT afdelingen van de NZa en DBC-O in de eerste helft van 2015 wordt de capaciteit vergroot en verbeterd; een inverdieneffect van de integratie. In de tweede helft van 2015 wordt fors geïnvesteerd in vakopleidingen.

5

Het TOGAF negen vlaksmodel is een bij de overheid veel gebruikt model waarin de strategische, tactische en operationele niveaus zijn afgezet tegen de bedrijfsvoering, informatie voorziening en ICT.

18


3.2 Rol van medewerkers en techniek bij Informatiebeveiliging De onderzoeksrapporten constateren onvoldoende relatie tussen de technische maatregelen voor informatiebeveiliging en de aandacht voor de bewustwording, gedrag, kennis en vaardigheden van medewerkers. Er zijn diverse acties ondernomen om medewerkers te betrekken bij het beveiligingsbeleid en ze te motiveren hieraan mee te werken. De systemen zijn technisch aangepast om informatiebeveiliging te realiseren. Bewustzijn medewerkers vergroten Goede informatiebeveiliging is alleen mogelijk als iedere NZamedewerker zich bewust is van de gevolgen van zijn of haar handelen. Waar mogelijk moet techniek daarbij ondersteunend zijn en de medewerker in staat stellen op het hoogste beveiligingsniveau te handelen. Voor het vergroten van het informatiebeveiligingsbewustzijn zijn inmiddels de volgende stappen gezet: − Voorlichtingssessies in management teams en unit overleggen van de directies. − Presentaties door de beveiligingsfunctionaris tijdens introductiebijeenkomsten voor nieuwe medewerkers en inloopsessies voor de bestaande medewerkers. − Publicaties op intranet en Kennisnet waarbij aandacht is voor de aanwezige procedures en instrumenten over veilig werken in de informatievoorziening. − Een voorlichtingscampagne om het thema beveiligingsbewustzijn onder de aandacht te brengen staat gepland. Naast de directe benadering van de medewerker zijn de volgende organisatorische maatregelen doorgevoerd of gepland op korte termijn. − In de toekomst wordt gewerkt met vier vertrouwensklassen van gegevens: open, organisatievertrouwelijk, commercieel vertrouwelijk en persoonlijk medisch vertrouwelijk. De vereiste risicoklassen worden vastgesteld als basis voor selectieve toegang. De informatiesystemen worden in 2015 aan deze indeling aangepast indien hiervoor de additionele middelen door VWS worden verstrekt. − De bestaande strikte procedure rond medische persoonsgegevens wordt gehandhaafd. − Voor alle wijzigingen aan bestaande informatiesystemen en voor het ontwikkelen van nieuwe systemen worden beveiligingseisen ontwikkeld. Deze hebben betrekking op de techniek maar ook op het gebruik. Na evaluatie worden de eisen algemeen toegepast op alle ontwikkelingen. Hierbij zal gebruik worden gemaakt van het Privacy Impact Assessment (PIA), een hulpmiddel om bij ontwikkeling van beleid, en de daarmee gepaard gaande wetgeving of bouw van ICTsystemen en aanleg van databestanden, privacy risico’s op gestructureerde en heldere wijze in kaart te brengen. − Er worden geanonimiseerde en gepseudonimiseerde testdata gecreëerd. Hiermee kan, ook door externen, een volledige testcyclus worden uitgevoerd zonder gevaar voor lekken van vertrouwelijke data. Dit zal naar verwachting eind 2015 zijn afgerond. − De NZa wil haar beveiligingspraktijk in 2016 extern laten toetsen en streeft naar Certificering volgens de ISO27001 norm.

19


Ter verbetering van de autorisatie, databescherming en versleuteling zijn de volgende technische maatregelen inmiddels ingevoerd of opgenomen in de planning. − Alle smartphones en tablets zijn voorzien een sandbox applicatie, Mobile Device Management. Hierdoor worden geen bedrijfsgegevens fysiek op de apparaten geplaatst en kunnen kwaadwillende bij diefstal of verlies geen NZa gegevens bereiken. − Alle laptops binnen de NZa zijn voorzien van encryptie software. Alle data die op de laptop wordt opgeslagen is versleuteld. − Het ongeclausuleerde gebruik van gedeelde informatie op gemeenschappelijke schijven is gestopt. De eisen aan sterkte en de geldigheidstermijn van wachtwoorden is verder aangescherpt. − Er zijn encryptie tools aan medewerkers verstrekt voor gegevensuitwisseling. − Communicatie met externen is of wordt verlegd van e-mail naar beveiligde portals. Dit traject is grotendeels gereed en vergt permanent onderhoud. − Doorvoeren van logging op gebruik van gevoelige data/informatie. De logging zal zowel plaatsvinden op handelingen van NZa-medewerkers als ICT medewerkers bij externe leveranciers (per 2015). − Implementatie van security monitoring en intrusion detection (IDS) bij de externe leverancier. Hiermee dienen aanvallen vanuit de buitenwereld op de bij de externe leverancier aanwezige NZa data te worden geïdentificeerd en voorkomen (per 2015). − Vaststellen van de risicoklassen en bijbehorende autorisatieregels (authenticatie need to know & need to have) − Nadere beveiliging doorvoeren door verdere segmentering en zonering op de technische infrastructuur (per 2015). − Met de externe leverancier de bestaande dienstverleningsovereenkomst aanpassen op de punten bedrijfscontinuïteit en disaster recovery en het doorvoeren daarvan zodat voortgang van werkzaamheden binnen de NZa altijd is gewaarborgd (per 2015). Een uitgebreider overzicht van de in 2014 getroffen maatregelen staat in bijlage 1.

3.2.1 Informatiebeveiligingsbeleid: ISMS Om de naleving van het beleid en de juiste omgang met de techniek te borgen is het volledig implementeren van het Informatie Security Management System (ISMS) van belang. In 2014 is nieuw beveiligingsbeleid vastgesteld en bestaand beleid aangescherpt. Gedrag waarvan impliciet wordt verondersteld dat medewerkers zich eraan houden, wordt in de eerste helft van 2015 geëxpliciteerd en vastgelegd in een geactualiseerd ISMS. Het ISMS biedt een verbetercyclus die een bijdrage levert om de informatiebeveiliging op niveau te houden met continue evaluatie, daaruit voortvloeiende verbetervoorstellen en de invoering ervan. Aan het informatiebeveiligingsbeleid wordt in het ISMS op verschillende onderdelen aandacht besteed: Opleidingen en trainingen In 2015 start een NZa-breed programma om het risicobewustzijn te vergroten, met extra aandacht voor het inwerken van nieuwe medewerkers en externen. Voor vaste medewerkers wordt een e-learning programma ontwikkeld en is er herhaalde communicatie via Kennisnet, de intranetsite en medewerkersbijeenkomsten.

20


Maatregelen in de HRM–sfeer De rol van leidinggevenden bij informatiebeveiliging leggen we begin 2015 expliciet vast in de functiebeschrijvingen. Onderwerpen die daarin voorkomen: het verstrekken en intrekken van autorisaties als iemand in dienst komt op een afdeling of juist vertrekt. In nauw overleg met HRM wordt een voorstel uitgewerkt om de follow up van overtreding van beveiligingsregels opnieuw te bezien. Bij foutief handelen wordt eerst bezien of betrokkene voldoende was geïnformeerd en wordt ontbrekende kennis aangereikt. Bij herhaalde, bewuste en/of flagrante overtredingen van de beveiligingsvoorschriften wordt een sanctie getroffen conform ARAR. Daarnaast wordt informatiebeveiliging onderdeel van functieprofielen en een gespreksonderwerp in p-gesprekken. Ook is elkaar open kunnen aanspreken op gedrag ten aan zien van informatiebeveiliging noodzakelijk. Organisatorische en fysieke maatregelen Voor alle beveiligingsaspecten wordt in het eerder genoemde TOGAF negenvlaksmodel een functionaris aangewezen. Deze functionaris houdt toezicht op de daadwerkelijke rolvervulling bij de beveiligingsaspecten. De fysieke beveiliging is sterk verbeterd door het nauwgezet gebruiken van toegangsbadges voor bezoekers en het te allen tijde begeleiden van bezoekers die in het gebouw aanwezig zijn. Daarnaast is er een kluis in gebruik genomen voor alle waardvolle zaken, is er aangescherpt clean deskbeleid en kan er alleen beveiligd worden geprint. Het toezicht op deze zaken is verscherpt.

3.3 Adequate aansturing en prestaties van de sourcing partner De interne kennis over de ICT-techniek wordt uitgebreid om de sourcing partner beter te kunnen aansturen. Daarvoor neemt de NZa de volgende maatregelen. Voor een timing van de acties verwijzen we naar het overzicht aan het begin van dit plan. Interne kennis ontwikkeling en aansturing De strategische sturing van de uitbestede diensten komt in handen van de RvB/ CIO. De tactische sturing vindt plaats op directieniveau. Met de sourcing partner is een governancemodel opgesteld. Dit wordt in december 2014 geïmplementeerd. In paragraaf 3.1 is beschreven hoe de competentie op het gebied van architectuur wordt opgebouwd. Deze vormt de basis voor de werkwijze. Opdracht aan de sourcing partner In november 2014 zijn de contractbesprekingen voor de formele bewerkersovereenkomst gestart en deze worden naar verwachting in januari 2015 afgerond. Over de fysieke informatiebeveiliging worden in het eerste kwartaal ook bewerkersovereenkomsten afgesloten met alle leveranciers die NZa data bewerken, zoals de arbodienst en de salarisverwerker. De bestaande opdracht aan de sourcing partner houdt in dat deze alle ICT-en informatieveiligheidsdiensten integreert en als één samenwerkend geheel aan de NZa aanbiedt. In het vierde kwartaal van 2014 is de sourcing partner gevraagd dit te realiseren. Zowel ten aanzien van het systeembeheer als ten aanzien van ICT projecten wordt de dienstverlening door de sourcing partner geïntegreerd. Momenteel worden rapportages voorbereid over zaken als de taken en diensten die 21


de sourcing partner heeft ondergebracht bij een onderaannemer of toeleverancier en de wijze waarop deze worden aangestuurd; de technische systemen die de sourcing partner inzet om de geïntegreerde diensten aan NZa te leveren, etc. Samen met de sourcing partner is in november 2014 een investeringsplan opgesteld waarin de te nemen maatregelen zijn opgenomen om te komen tot: − Logging van alle toegang die technisch systeembeheerders van de sourcing partner, zijn onderaannemers en toeleveranciers, de functioneel beheerders en de gebruikers van de NZa hebben gehad tot gegevensbestanden. − Monitoring van deze toegang inclusief rapportage hierover aan de betrokken directies van de NZa. − Analysetools om de monitoring adequaat te kunnen beoordelen. − Dubbele uitvoering van de belangrijkste systeemelementen voor een ongestoorde bedrijfsvoering van kernfuncties en het voorbereiden en testen van herstelprocedures bij systeemuitval. − Het dubbel opslaan en bewaren van cruciale gegevens zodanig dat de NZa nooit belangrijke gegevens kwijtraakt.

3.4 Informatiesystemen die aansluiten bij de wensen van de gebruikers De taken die de NZa uitvoert vereisen adequate, hedendaagse informatiesystemen en ICT-ondersteuning. Door hier maatregelen op te nemen wordt een betere gebruiksvriendelijkheid gerealiseerd en het verbetert de bedrijfsvoering. Het bepalen van de vereiste informatiesystemen en gegevens is niet langer alleen de verantwoordelijkheid van de directie Bedrijfsvoering en Informatie. De RvB en directeuren zullen hier uitdrukkelijk zelf op sturen. Dit betekent onder andere het volgende: − De RvB/CIO zit het directieberaad informatievoorziening en beveiliging voor en zorgt voor de voorbereiding. Hier wordt maandelijks gesproken en besloten over het beheer van bestaande systemen en de vernieuwingsprojecten (medio 2015). − Verandering, vernieuwing en vervanging van informatiesystemen worden allemaal projectmatig uitgevoerd. Projecten worden qua omvang beperkt en de doorlooptijd is nooit langer dan 6 maanden. Er komt één op Prince II gebaseerde projectmanagementmethodiek en -administratie. Elk project staat onder inhoudelijke leiding van de meest betrokken lijndirectie en een toegevoegd technisch projectleider uit de stafdirectie. − De eerder geschetste gedifferentieerde toegang tot systemen en gegevens wordt gerealiseerd door een single sign on autorisatie (eind 2015).

3.5 Agenda De NZa wisselt voor haar taken veel informatie uit met andere organisaties. De NZa wil vanuit haar eigen verantwoordelijkheid actief bijdragen aan een duurzaam informatiestelsel voor de zorg waarbinnen de juiste informatie op het juiste moment op de juiste plaats is. Uitgangspunten zijn: registratie aan de bron, transparantie van kwaliteit en gegarandeerde veiligheid dat vertrouwelijke data alleen toegankelijk zijn voor hen die zijn geautoriseerd.

22


Voor de NZa betekent dit in 2015 het volgende: Samenwerken bij data-uitvraag en -uitlevering Actieve deelname in de relevante overleggen en beraden die bijdragen aan betere uitwisseling van informatie en gegevens tussen partijen in het zorgveld. Dit betreft de dataverzameling: als één organisatie data al heeft opgevraagd bij zorgpartijen, moet een andere organisatie deze ook kunnen gebruiken. De classificering, standaardisering en toegang moeten hiervoor verder worden verbeterd. Ook wil de NZa de op te vragen informatie qua format en aanlevermoment beter laten aansluiten op de data die de bronorganisatie voor de eigen bedrijfsvoering toch al verzamelt. Het ontwikkelen van zogenaamde datakluizen per aan te leveren zorginstelling kan hierbij ondersteunen. Dit kan voordelen opleveren zoals een lagere belasting van het zorgveld, betere kwaliteit en consistentie van de data, lagere kosten voor opslag en verwerking, en meer eenduidigheid in verwerking en interpretatie. Ook aan de ‘output’ kant van de bedrijfsprocessen is winst te behalen door samen te werken. Zo kunnen de marktonderzoeken slimmer worden verspreid en beschikbaar worden gesteld aan de doelgroepen. De NZa zet in op het bereiken van zichtbaar resultaat eind 2015. Kennis uitwisselen met andere organisaties De bedrijfsprocessen van de NZa vergen veel sectorkennis en zijn daardoor deels uniek. Veel processen kennen echter parallellen met andere toezichthoudende instanties. Zo werkt de NZa samen met bijvoorbeeld de Inspectie SZW voor digitale recherche, het RIVM op gebied van analysetooling, het Landelijk Basisregister Ziekenhuiszorg voor declaratie-data (in ontwikkeling) en het CPB met betrekking tot analyses. Met ZIN werkt de NZa samen met betrekking tot het aanleveren verplichte informatie over kwaliteit. De NZa is in gesprek met EZ/Dictu voor generieke toezichtsondersteunende software. De NZa wil in 2015 actief onderzoeken welke vakinhoudelijke kennis en functionaliteiten kunnen worden gedeeld. De daadwerkelijke voordelen zullen in 2016 en 2017 te zien zijn. Voordelen hiervan kunnen zijn: bundeling van kennis, verhoging van de kwaliteit, lagere kosten en minder afhankelijk van marktpartijen. Outsourcing contracten De NZa en DBC-Onderhoud hebben hun informatietechnologie uitbesteed aan twee verschillende organisaties. De contracten eindigen in 2016 respectievelijk 2018. De dienstverlening vereist een kwalitatieve verbetering, met name op het gebied van beschikbaarheid, betrouwbaarheid en beveiliging van data. De NZa streeft ernaar: − de beide ICT-omgevingen in de komende jaren verregaand te integreren, te beginnen met de kantoorautomatisering; − de kwaliteit van dienstverlening van beide partners op een gelijk, hoog niveau te brengen passend bij de eisen van de nieuwe NZa; − een optimale balans te vinden tussen zelf doen, deelname in overheidsbrede ICT-initiatieven en het commercieel uitbesteden van diensten. De voorbereiding van de samenvoeging is eind 2014 al gestart. De oriëntatie op het traject van heraanbesteding start medio 2015. 23


24


4. Kosten

Om de gewenste Informatievoorziening en informatiebeveiliging te realiseren zijn de komende jaren forse investeringen nodig. Daarnaast zullen ook de exploitatiekosten toenemen. Tabel 1. Investeringen 2015

2016

Investeringen

860.000

335.000

2017 105.000

Stelpost 15%

130.000

50.000

15.000

Project inhuur

300.000

250.000

150.000

TOTAAL

1.290.000

635.000

270.000

2017

Tabel 2. Exploitatiekosten 2015

2016

Jaarlijkse exploitatie

450.000

900.000

900.000

Personeel

Pm

Pm

pm

TOTAAL

450.000 plus pm

900.000 plus pm

900.000 plus pm

Benodigde formatie Naast investeringen en projectcapaciteit vergt de uitvoering van het plan van aanpak ook uitbreiding van de formatie. De extra werkzaamheden betreffen de toevoeging van een fulltime professionele beveiligingsfunctionaris (+ 1.0 fte), de uitbreiding van de formatie per lijn directie met ca 0,5 fte (1,5 fte totaal) voor monitoring en analyses, het bijhouden van registraties en uitvoeren veiligheidsprocessen, autorisatiebeheer, het opstellen en uitvoeren van bedrijfsplannen en het uitvoeren van projecten. De directie bedrijfsvoering zal eveneens met 1,5 fte moeten toenemen ten behoeve van enerzijds werkzaamheden op het gebied van veiligheidsmanagement en anderzijds meer en betere ICT regie, aansturing van de sourcing partner en het werken onder architectuur. Bij deze totale uitbreiding met 4.0 fte is al verdisconteerd dat de directies veel versnipperde extra werkzaamheden oppakken in de bestaande formatie. Nader onderzoek moet uitwijzen of inverdien effecten mogelijk zijn zodat deze uitbreiding deels achterwege kan blijven. Hier komen wij in de reguliere review momenten (3 en 7 maands review) op terug. In de toekomst nemen wij deze investerings- en exploitatiekosten mee in het regulier werkprogramma proces.

25


26


Bijlage I

Reeds gerealiseerde maatregelen informatievoorziening en informatiebeveiliging 2014 1. Review & verwijderen vertrouwelijke gegevens van de V-schijf, na incident melding. 2. Afsluiten toegang V-schijf voor de Catering, receptie & beveiliging. 3. Tijdelijke maatregel: dagelijks automatisch verwijderen van nieuwe bestanden op de V-Schijf en handmatig monitoren van bestanden op de V-Schijf door de Security Officer. 4. Eenmalige review en opschoning NZA windows accounts. 5. Eenmalige review en opschoning autorisaties U-schijf (projecten). 6. Technisch verplichten van sterke wachtwoorden bij aanloggen op windows. 7. Lock-out van het NZa windows account na 3 verkeerde inlog pogingen. 8. Sterke authenticatie (2FA) token vereist voor thuiswerken en remote toegang tot email. 9. Eenmalig centraal dichtzetten van alle outlook agenda's en beperken tot beschikbaarheidsindicatie. 10. Informeren medewerkers, hoe veilig omgaan met de outlook agenda. 11. Penetratie test op “verzamelpunt Zorgfraude” portaal, oplossing van gevonden issues en acceptatie van de rest risico’s. 12. Penetratie test op de externe email toegang Outlook Web Access (OWA) en afsluiten voor extern gebruik. 13. Clean-desk checks door de security Officer en beveiliging. 14. Afsluitbare kasten & kluizen, voor het opbergen van vertrouwelijke documenten. 15. Beschikbaar stellen van encryptie tool (7Zip) aan medewerkers plus instructies voor veilige bestands uitwisseling. 16. Encryptie van de Harddisks van alle NZa laptops. 17. Aanvraag proces informatieverzoeken geformaliseerd via Topdesk voor Datacenter & DIV. 18. Steek proeven op Authorisaties bij Directie schijven door de Security Officer. 19. Invoering "Mobile Device Management" voor veilige toegang tot NZa email via mobiel. 20. Inhuren van een gecertificeerde ad-interim Security Officer, rapporterend aan de RvB, voor het verhogen van het volwassenheidsniveau van de informatiebeveiliging binnen de NZa. 21. Ad-hoc start met Security incident afhandeling door gecertificeerde Security Officer. 22. Ad-hoc start met risico analyses en adviezen door Security Officer.

27

Plan van Aanpak Informatievoorziening en informatiebeveiliging

Recommend Documents