Onderzoeksrapport Rijksbreed onderzoek beheersing informatiebeveiliging Definitief

Onderzoeksrapport

Rijksbreed onderzoek beheersing informatiebeveiliging 2019

Definitief

Inlichtingen Auditdienst Rijk 070-342 7700

Colofon

Titel Rijksbreed onderzoek beheersing informatiebeveiliging 2019

Uitgebracht aan CIO-Rijk als voorzitter van het CIO-beraad

Datum 25 juni 2020

Kenmerk 2020-0000120603

Inhoud

1 Managementsamenvatting—5 2 Verantwoording onderzoek—7 2.1 Aanleiding onderzoek—7

2.2 Doelstelling—7

2.3 Object van onderzoek en afbakening—8 2.4 Onderzoeksvragen—8

2.5 Gehanteerd referentiekader—9 2.6 Uitgevoerde werkzaamheden—10 2.7 Gehanteerde Standaard—11 2.8 Verspreiding rapport—11 2.9 Leeswijzer—12

2.10 Gehanteerde terminologie—12 3 Rijksbreed beeld—13

3.1 Governance—13

3.1.1 Alle departementen beschikken nu over een visie op informatiebeveiliging—15 3.1.2 Twee departementen beschikken nog over beperkt of verouderd beleid—15 3.1.3 Meerderheid van departementen beschikt over bewustwordingsprogramma voor

medewerkers—15

3.1.4 Bijna alle departementen werken met een jaarplan, vaak geen concrete vertaling naar benodigde middelen of samenhang met visie beschikbaar—16

3.1.5 Uitkomsten van audits bereiken nog niet altijd de bestuursraad en het Audit Committee—16

3.2 Organisatie—17

3.2.1 Sleutelposities voor informatiebeveiliging op centraal niveau verder ingevuld, maar op onderdelen ook nog kwetsbaar—18

3.2.2 Toezichtsrol op informatiebeveiliging divers ingericht, tweedelijnstoezicht beperkt aanwezig—18

3.2.3 Mate van centrale sturing op decentrale onderdelen varieert—19 3.3 Risicomanagement—20

3.3.1 Meer departementen beschikken over een risicomanagementbeleid, formuleren risicobereidheid blijft achter—21

3.3.2 Departementen verkrijgen sturingsinformatie van deelorganisaties, frequentie en diepgang verschillen per departement—22

3.3.3 Informatie over status van kritieke systemen vaak niet volledig, hierdoor beperkt centraal inzicht in de feitelijke veiligheid van kritieke systemen—22

3.4 Incidentmanagement—25

3.4.1 Een derde van de departementen beschikt over een vastgestelde departementsbrede procedure voor incidentmanagement—26 3.4.2 Departementen werken aan centraal inzicht in incidenten—27 3.4.3 Escalatie van incidenten blijft grotendeels een ad hoc proces—27 4 Opvolging van aanbevelingen 2018—28

4.1 Activiteiten ondernomen voor opvolging aanbevelingen op departementaal niveau, afronding dient wel veelal nog plaats te vinden—28

4.2 Activiteiten opgestart door CIO-Rijk voor opvolging aanbevelingen, effect nog beperkt—28

4.2.1 Aanbevelingen 2018—28

4.2.2 Diverse ontwikkelingen in 2019—28

4.2.3 Pilot nieuw format ICV-traject uitgevoerd, evaluatie in 2020—29

4.2.4 Inzicht in feitelijke veiligheid en ambitie van departementen onder de aandacht via CISO-gesprekken, nog geen sturing op deze onderwerpen—29

4.2.5 Beschrijving (herziene) verantwoordelijkheden CIO, CISO en CISO-Rijk krijgt in 2020 vervolg—29

4.2.6 CISO-overleg verder ingericht om samenwerking te bevorderen—29 4.2.7 Evaluatie tweedelijnstoezicht nog geen plaats gehad—29

5 Rijksbrede verbetermogelijkheden—30 5.1 Aanbevelingen aan CIO-Rijk—30

5.2 Goede voorbeelden—30 5.2.1 Risicoregister van J&V—30

6 Ondertekening—31

7 Managementreactie CIO-Rijk—32

8 Bijlage A – Volwassenheidsniveaus per thema—33 9 Bijlage B – Overzicht key-elementen—34

10 Bijlage C – Gehanteerd referentiekader—36

1 Managementsamenvatting

In opdracht van CIO-Rijk hebben wij voor het derde achtereenvolgende jaar onderzoek gedaan naar de sturing en beheersing van informatiebeveiliging op centraal departementaal niveau aan de hand van de ‘Handreiking bij

Volwassenheidsmodel Informatiebeveiliging’ van de Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA). Daarbij hebben wij vier

aandachtsgebieden onderzocht: Governance, Organisatie, Risicomanagement en Incidentmanagement. In dit hoofdstuk hebben wij onze belangrijkste bevindingen uiteengezet.

Algemeen

In 2019 hebben de departementen diverse werkzaamheden uitgevoerd die op onderdelen hebben geleid tot een groei in de sturing en beheersing van informatiebeveiliging. Dit betreft voornamelijk het opstellen van beleid of procedures.

Hoewel er sprake is van groei, bestaat de vraag of dat voldoende is om als Rijksdienst weerbaar te blijven tegen de toenemende dreigingen. Wij constateren vanuit het thema Risicomanagement dat het inzicht in de feitelijke veiligheid van de kritieke systemen – waar het uiteindelijk om draait – vaak nog beperkt is en weinig groei vertoont ten opzichte van ons voorgaande onderzoek in 2018.

Informatiebeveiliging is nog onverminderd van belang en wij vinden het dan ook zorgelijk dat dit een terugkomende bevinding is.

De belangrijkste bevindingen zullen hierna verder worden toegelicht.

Wederom rijksbreed lichte groei in volwassenheid

Alle departementen hebben het afgelopen jaar activiteiten ondernomen om de sturing en beheersing op informatiebeveiliging te verbeteren. Bij de meeste

departementen resulteert dit in een groei in volwassenheid. Vooral ten aanzien van het formuleren van een visie op informatiebeveiliging en het ontwikkelen van een centraal risicomanagementbeleid is bij veel departementen groei waargenomen.

Met het ontwikkelen van een visie wordt het risico op ad-hoc beleid verkleind, en door het hanteren van een centraal risicomanagementbeleid en –kader zijn departementen beter in staat de belangrijkste informatiebeveiligingsrisico’s te vergelijken en te wegen.

Inzicht in feitelijke veiligheid blijft achter

Vorig jaar signaleerden wij dat de risico’s van kritieke systemen op centraal niveau niet altijd bekend waren en dat slechts een klein deel van de systemen regelmatig

een beveiligingsonderzoek onderging. Hierdoor is er beperkt inzicht in de feitelijke werking van de genomen maatregelen voor informatiebeveiliging.

In 2019 is dit grotendeels gelijk gebleven. Ondanks dat de meeste departementen nu gebruik maken van een risicokaart of vergelijkbaar overzicht om de relevante kenmerken van systemen bij te houden, is de informatie in deze overzichten vaak nog niet volledig.

Op basis van de centrale monitoring van departementen zelf, blijkt dat meer dan de helft van de kritieke systemen niet beschikt over een recente risicoanalyse of Quickscan en dat meer dan driekwart van de systemen de afgelopen drie jaar niet is onderworpen aan een audit of pentest. Hierbij constateren wij geen groei ten opzichte van het voorgaande onderzoek in 2018. Uit andere onderzoeken van de ADR (buiten de scope van dit onderzoek) blijkt dat de feitelijke veiligheid van systemen nog niet altijd op orde is.

Toezichtsrol op informatiebeveiliging divers ingericht, tweedelijnstoezicht beperkt aanwezig

Tweedelijnstoezicht overziet de implementatie van maatregelen voor

informatiebeveiliging door de eerste lijn, adviseert hierin en informeert tevens de departementsleiding over de resultaten van de geïmplementeerde maatregelen.

Hierin is ook een rol voor de departementale CISO weggelegd. Evenals vorig jaar constateren we dat het tweedelijnstoezicht op informatiebeveiliging divers is ingericht, waarbij deze rol bij een aantal departementen slechts een beperkte invulling kent.

Aanbevelingen CIO-Rijk

Op basis van het uitgevoerde onderzoek bij de elf departementen, en bij de afdeling van CIO-Rijk zelf, geven wij de volgende aanbevelingen voor het komende jaar:

1. Stimuleer de departementen actief om het inzicht in de feitelijke veiligheid van de (kritieke) systemen te verhogen, door onder andere periodiek risicoanalyses en beveiligingsonderzoeken uit te voeren en de belangrijkste uitkomsten centraal bij te houden;

2. Neem bij de evaluatie van de pilot van het informatiebeveiligingsbeeld ook mee welke informatie over kritieke systemen centraal minimaal dient te worden ontvangen om over voldoende sturingsinformatie te beschikken.

3. In 2019 is gestart met het opstellen van (verbeterde) CISO- en CIO- profielen. Zet de ingezette lijn voort om op rijksbreed niveau verduidelijking aan te brengen in de verdeling van verantwoordelijkheden op het gebied van informatiebeveiliging;

4. Onderzoek hierbij ook, in samenspraak met de departementen, de optimale inrichting van tweedelijns toezicht op het gebied van informatiebeveiliging, rekening houdend met de verschillende karakteristieken van de

departementen.

2 Verantwoording onderzoek

2.1 Aanleiding onderzoek

Alle organisaties binnen de Rijksoverheid moeten voldoen aan het Voorschrift Informatiebeveiliging Rijksdienst 2007 (VIR). In het VIR zijn eisen voor de beheersing van informatiebeveiliging beschreven, zoals het uitvoeren van

risicoanalyses voor informatiesystemen. De afgelopen jaren heeft de ADR rijksbrede onderzoeken uitgevoerd naar de beheersing van informatiebeveiliging.

In het onderzoek van 2017 is de volwassenheid van de departementen op het gebied van informatiebeveiliging geïntroduceerd en lag de focus op de beheersing van informatiebeveiliging op centraal niveau. In 2018 is hieraan een vervolg gegeven en zijn opnieuw vier aandachtsgebieden uit het NBA-model onderzocht:

Governance, Organisatie, Risicomanagement en Incidentmanagement. In 2018 hebben de CIO’s, voorafgaand aan ons onderzoek, het gewenste niveau voor de door ons onderzochte aandachtsgebieden vastgesteld. Om een actueel beeld te verkrijgen van de beheersing op het gebied van informatiebeveiliging op centraal niveau, heeft de CIO Rijk (DGOO), als voorzitter van het CIO-beraad, de ADR opnieuw gevraagd om over 2019 onderzoek uit te voeren met een vergelijkbare scope als over 2018.

Deze rapportage bevat de overkoepelende analyse van ons onderzoek. Wij schetsen hiermee rijksbreed een beeld van de beheersing van informatiebeveiliging op departementaal centraal niveau. Daarnaast hebben wij goede voorbeelden en verbeterpunten geïdentificeerd. Onderliggende dienstonderdelen zoals bijvoorbeeld agentschappen zijn door ons niet onderzocht. Wel is onderzocht op welke wijze per departement op centraal niveau de onderliggende dienstonderdelen worden aangestuurd en welke (management)informatie van de dienstonderdelen wordt verkregen.

2.2 Doelstelling

De doelstelling van het onderzoek is tweeledig, namelijk:

• Het inzichtelijk maken van de beheersing van informatiebeveiliging op centraal niveau, gemeten in volwassenheidsniveaus per aandachtsgebied.

• Het adviseren over verbetermogelijkheden in de beheersing van informatiebeveiliging (per aandachtsgebied).

Beide doelstellingen dienen om goede voorbeelden en verbeterpunten te identificeren in de beheersing van informatiebeveiliging op departementaal en rijksbreed niveau.

2.3 Object van onderzoek en afbakening

Het object van onderzoek betreft de beheersing van informatiebeveiliging op centraal departementaal niveau (veelal bij het CIO-office en/of

Beveiligingsambtenaar, BVA) voor alle departementen. De beheersing van

informatiebeveiliging op centraal departementaal niveau dient om invulling te geven aan art. 3 en art. 4 van het Besluit voorschrift informatiebeveiliging rijksdienst 2007 (VIR:2007).

Om het object van onderzoek ‘de beheersing van informatiebeveiliging’ volgens het VIR:2007 te verduidelijken gebruikt dit onderzoek een selectie van

aandachtsgebieden uit het NBA-volwassenheidsmodel over informatiebeveiliging. De vier geselecteerde aandachtsgebieden (Governance, Organisatie, Risicomanagement en Incidentmanagement) en het NBA-volwassenheidsmodel zijn in paragraaf 2.5 toegelicht als referentiekader voor dit onderzoek.

Wij gebruiken in onze aanpak het centrale ICV-dossier als onderbouwing van de ICV (aspect van aandachtsgebied Governance), als verantwoording door het

departement over informatiebeveiliging. Het centrale dossier interpreteren wij volgens de afspraken die zijn gemaakt in toelichting bij de ICV 2018 (vastgesteld in het CIO-beraad d.d. 4 april 2018).

Het onderzoek richt zich op opzet (is er een beschrijving van de maatregelen) en bestaan (functioneren de maatregelen op het moment van onderzoek conform de opzet?) van de vier hierboven beschreven aandachtsgebieden. Wij richten ons bij dit onderzoek niet op de beheersing van informatiebeveiliging op decentraal

(dienstonderdeel) niveau, wel onderzoeken wij de gemaakte afspraken tussen centraal en decentraal en de aanwezigheid van sturingsinformatie.

2.4 Onderzoeksvragen

Om de bovengenoemde doelstellingen te behalen zijn in dit onderzoek de volgende vier onderzoeksvragen beantwoord:

1. Wat is het huidige volwassenheidsniveau bij elk departement ten aanzien van bovengenoemde aandachtsgebieden en hoe verhoudt dit zich tot het gewenste ambitieniveau zoals vastgesteld door de CIO?

2. Welke verbeteringen zijn mogelijk in de beheersing van

informatiebeveiliging voor de bovenstaande aandachtsgebieden bij elk departement?

3. Welke verbeteringen zijn rijksbreed mogelijk in de beheersing van informatiebeveiliging voor de bovenstaande aandachtsgebieden?

4. In hoeverre zijn de aanbevelingen uit het onderzoek van 2018 opgevolgd?

Vanuit de derde onderzoeksvraag identificeren wij waar mogelijk ook goede voorbeelden. Vraag 1, 2 en 4 zijn beantwoord in de deelrapporten. In dit

eindrapport zijn de geanonimiseerde rode draden van de resultaten beschreven en is onderzoeksvraag 3 beantwoord.

2.5 Gehanteerd referentiekader

Voor het onderzoek is als referentiekader gebruik gemaakt van de “Handreiking bij Volwassenheidsmodel Informatiebeveiliging”. Het referentiekader is opgesteld door de Ledengroep Intern en Overheidsaccountants (LIO) van de Koninklijke

Nederlandse Beroepsorganisatie van Accountants (NBA). Het doel van het referentiekader is organisaties te ondersteunen bij het meten, bepalen en verbeteren van de beheersing van informatiebeveiliging.

Het volwassenheidsmodel kent vijftien aandachtsgebieden, in ons onderzoek zijn vier aandachtsgebieden onderzocht. De vier onderzochte aandachtsgebieden zijn Governance, Organisatie, Incidentmanagement en Risicomanagement.

Deze vier aandachtsgebieden zijn gekozen omdat ze randvoorwaardelijk zijn voor de beheersing van informatiebeveiliging op departementaal niveau voor het gehele departement. Dit sluit aan bij de scope van het voorgaande onderzoek (2018).

De overige aandachtsgebieden uit het referentiekader zijn niet in dit onderzoek betrokken.

De beschrijving van de verschillende onderzochte aandachtsgebieden uit de handreiking is opgenomen in bijlage C. De volgende vijf niveaus en bijbehorende leidende criteria zijn in het volwassenheidsmodel onderkend:

Niveau Naam Omschrijving Criteria 1 Initieel Beheersmaatregelen zijn

niet of gedeeltelijk gedefinieerd en/of worden op inconsistente wijze uitgevoerd. Grote afhankelijkheid van individuen.

• Geen of beperkte controls geïmplementeerd

• Niet of ad-hoc uitgevoerd

• Niet/deels gedocumenteerd

• Wijze van uitvoering afhankelijk van

individu 2 Herhaalbaar Beheersmaatregelen zijn

aanwezig en worden op consistente en

gestructureerde, maar op informele wijze uitgevoerd.

• Control is geïmplementeerd

• Uitvoering is consistent en standaard

• Informeel en grotendeels gedocumenteerd

3 Gedefinieerd Beheersmaatregelen zijn gedocumenteerd en worden op gestructureerde en geformaliseerde wijze uitgevoerd. De uitvoering is aantoonbaar.

• Control gedefinieerd o.b.v. risico assessment

• Gedocumenteerd en geformaliseerd

• Verantwoordelijkheden en taken eenduidig toegewezen

• Opzet, bestaan en effectieve werking aantoonbaar

4 Beheerst en meetbaar

De effectiviteit van de beheersmaatregelen wordt periodiek geëvalueerd en kwalitatief gecontroleerd.

• Periodieke (control) evaluatie en opvolging vindt plaats

• Rapportage management vindt plaats

5 Continu

verbeteren

Een ecosysteem is verankerd en draagt zorg voor een continue en effectieve controle en risico beheersing

• Self-assessment, gap en root cause analyses

• Real time monitoring

• Inzet automated tooling

2.6 Uitgevoerde werkzaamheden

Onze werkzaamheden zijn uitgevoerd in overeenstemming met de

opdrachtbevestiging (2019-0000019900 d.d. 4 februari 2019). Dat houdt in dat wij bij de volgende departementen op centraal niveau onderzoek hebben gedaan naar de beheersing van informatiebeveiliging voor de vijf aandachtsgebieden en daarover een deelrapport hebben uitgebracht:

- Ministerie van Algemene Zaken (AZ)

- Ministerie van Binnenlandse Zaken & Koninkrijksrelaties (BZK) - Ministerie van Buitenlandse Zaken (BZ)

- Ministerie van Defensie (DEF)

- Ministerie van Economische Zaken & Klimaat (EZK) en Landbouw, Natuur en Voedselkwaliteit (LNV)

- Ministerie van Financiën (FIN)

- Ministerie van Infrastructuur & Waterstaat (I&W) - Ministerie van Justitie & Veiligheid (J&V)

- Ministerie van Onderwijs, Cultuur & Wetenschap (OCW) - Ministerie van Sociale Zaken & Werkgelegenheid (SZW) - Ministerie van Volksgezondheid, Welzijn en Sport (VWS)

Vervolgens is deze overkoepelende, geanonimiseerde rapportage opgesteld met onder andere een rijksbreed overzicht van het gewenste en huidige

volwassenheidsniveau per aandachtsgebied. Daarbij zijn ook de

volwassenheidsniveaus van voorgaande onderzoeken beschreven, zodat een vergelijking mogelijk is met de scores van voorgaande jaren. Basis voor deze overkoepelende rapportage zijn de deelrapportages per departement. Tevens geven wij goede voorbeelden en verbetermogelijkheden aan. De rijksbrede rapportage heeft een anoniem karakter. In de besloten kring van het CIO-beraad kan op verzoek (van het CIO-beraad zelf) een lijst met de niveaus per departement worden gedeeld. Voor wat betreft de goede voorbeelden zullen hebben wij wel namen van departementen opgenomen.

Dit onderzoek heeft conform opdrachtbevestiging – en zoals hiervoor beschreven - uit twee onderdelen bestaan. Voor het eerste onderdeel zijn de volgende

werkzaamheden uitgevoerd voor de deelrapportages op departementaal niveau:

- Voorafgaand aan het onderzoek is door elk departement een

zelfevaluatie ingevuld en is documentatie ter onderbouwing van deze zelfevaluatie aan het onderzoeksteam aangeboden;

- Op basis van een documentstudie, interviews en waarneming ter plaatse heeft het onderzoeksteam zich een beeld gevormd van de beheersing van informatiebeveiliging op centraal niveau;

- Het onderzoek heeft zich alleen gericht op opzet en bestaan op centraal departementaal niveau. De beheersing van informatiebeveiliging bij ZBO’s en andere onderliggende dienstonderdelen (zoals agentschappen) zijn niet onderzocht;

- De bevindingen en adviezen opgenomen in de departementale

rapportages zijn afgestemd via hoor- en wederhoor (per thema). Indien gevraagd zijn individuele normen uit het kader nader besproken met de betrokkenen. Elk departement heeft akkoord gegeven op de

conceptversie van haar departementale deelrapportage.

Voor het tweede onderdeel van het onderzoek zijn de volgende werkzaamheden uitgevoerd ten behoeve van de rijksbrede analyse en rapportage:

- Op basis van fase 1 heeft het onderzoeksteam een rijksbrede analyse uitgevoerd naar de beheersing van informatiebeveiliging op centraal departementaal niveau. Hiervoor zijn de departementale zelfevaluaties, het onderzoeksdossier en deelrapportages gebruikt;

- Ook hebben wij (rijksbrede) goede voorbeelden geïdentificeerd (zie hoofdstuk 5), hebben wij de indicatieve volwassenheidniveaus per aandachtsgebied opgeteld en enkele indicatoren in beeld gebracht.

2.7 Gehanteerde Standaard

Deze opdracht is uitgevoerd in overeenstemming met de Internationale Standaarden voor de Beroepsuitoefening van Internal Auditing.

In dit rapport wordt geen zekerheid verschaft, omdat er geen assurance-opdracht is uitgevoerd.

2.8 Verspreiding rapport

De opdrachtgever, dhr. L.J. Visser, CIO-Rijk en voorzitter CIO-beraad, is eigenaar van dit rapport.

De ADR is de interne auditdienst van het Rijk. Dit rapport is primair bestemd voor de opdrachtgever met wie wij deze opdracht zijn overeengekomen. In de

ministerraad is besloten dat het opdrachtgevende ministerie waarvoor de ADR een rapport heeft geschreven, het rapport binnen zes weken op de website van de rijksoverheid plaatst, tenzij daarvoor een uitzondering geldt. De minister van Financiën stuurt elk halfjaar een overzicht naar de Tweede Kamer met de titels van door de ADR uitgebrachte rapporten en plaatst dit overzicht op de website.

2.9 Leeswijzer

De onderzoeksresultaten zijn onderverdeeld in de vier door ons onderzochte aandachtsgebieden en opgenomen in hoofdstuk 3. In hoofdstuk 4 is de opvolging van bevindingen uit 2018 opgenomen. Hoofdstuk 5 bevat onze rijksbrede

verbetermogelijkheden. Tot slot bevat hoofdstuk 6 een overzicht van de indicatieve volwassenheidsniveaus.

2.10 Gehanteerde terminologie

Key-elementen – Zoals beschreven in sectie 2.5 hebben wij vier verschillende thema’s onderzocht. Deze thema’s behelzen vervolgens diverse aandachtsgebieden, die in de hoofdstukken hierna zullen worden beschreven. Per thema hebben we de essentie willen omvatten door een selectie te maken van de belangrijkste

elementen, zoals bijvoorbeeld de aanwezigheid van een risicomanagementbeleid voor het thema Risk Management.

In de verschillende deelrapporten van de departementen hebben wij per element expliciet opgenomen in welke mate deze aanwezig is. In de volgende hoofdstukken zullen wij daarom ook ingaan op de rijksbrede aanwezigheid van deze zgn. key- elementen¹.

Gewenst ambitieniveau – In 2018 hebben alle departementen door de

betreffende CIO een ambitieniveau laten vaststellen voor de door ons onderzochte thema’s.

1 Uitzondering hierop is het thema Organisatie. Gezien de diverse inrichtingen bij de

departementen is deze vergelijking niet helder in tabelvorm te vatten. De resultaten zijn wel tekstueel in het bijbehorende hoofdstuk verwerkt.

3 Rijksbreed beeld

3.1 Governance

Indicatoren en volwassenheidsscores

Binnen het aandachtsgebied Governance zijn de volgende thema’s onderzocht:

• GO.01 – Strategy;

• GO.02 - Policy;

• GO.03 - Plan / Roadmap;

• GO.05 - Independent assurance.

In onderstaande figuur zijn de gemiddelde scores voor Governance

(verdeeld over GO.01, GO.02, GO.03 en GO.05) opgenomen. Hierbij is onderscheid gemaakt tussen de scores voor 2017, 2018, 2019 en het gewenste ambitieniveau.

Doelstelling

Besturing (Governance) geeft richting en ondersteuning aan

informatiebeveiliging in lijn met bedrijfsdoelstellingen, risicobereidheid en van toepassing zijnde wet- en regelgeving en vergewist zich van de effectieve naleving ervan. Een informatiebeveiligingsstrategie en -visie die leidend zijn voor de handelingen voor informatiebeveiliging zijn van belang om gefundeerde beslissingen te nemen en adequaat te reageren op ontwikkelingen. Wanneer deze strategie en visie ondersteund worden door een actueel

informatiebeveiligingsbeleid, kan makkelijker voldaan worden aan de bestaande eisen over informatiebeveiliging. Door de geformuleerde doelen, risico's en eisen te vertalen naar een concrete planning, komen de maatregelen in lijn te staan met de bedrijfsdoelstellingen. Om toezicht te houden op de kwaliteit en effectiviteit van de genomen maatregelen, kan intern of extern onafhankelijke zekerheid worden verschaft.

(Naar: Handreiking bij Volwassenheidsmodel Informatiebeveiliging, NBA)

In onderstaand figuur is opgenomen in hoeverre departementen beschikken over de documenten behorend bij de key-elementen (zie sectie 2.10) voor het thema Governance:

Voor wat betreft de Governance van informatiebeveiliging signaleren wij de volgende ontwikkelingen en aandachtspunten:

- Alle departementen beschikken nu over een visie op informatiebeveiliging - Twee departementen beschikken nog over beperkt of verouderd beleid - Meerderheid van departementen beschikt over bewustwordingsprogramma

voor medewerkers 01

23 45 6 78 109 11

Visie Beleid Jaarplan Awareness -

programma Aanwezigheid key-elementen Governance

Ja Deels of concept Nee

Figuur 2 - Aanwezigheid van de key-elementen voor het thema Governance

Figuur 1- Gemiddelde scores (afgelopen drie jaar) over de departementen heen voor de onderzochte aandachtsgebieden (GO.01 t/m GO.05) binnen het thema Governance. Voor deze aandachtsgebieden hebben de departementen tevens een ambitie voor de lange termijn gedefinieerd.

0 1 2 3 4 5

GO.01 GO.02 GO.03 GO.05

Governance

ambitie 2017 2018 2019

- Bijna alle departementen werken met een jaarplan, vaak geen concrete vertaling naar benodigde middelen of samenhang met visie beschikbaar - Uitkomsten van audits bereiken nog niet altijd de bestuursraad en het Audit

Committee

3.1.1 Alle departementen beschikken nu over een visie op informatiebeveiliging Een goed geformuleerde (en geaccordeerde) visie op informatiebeveiliging biedt sturing en focus bij het uitvoeren van activiteiten. Daarnaast biedt het houvast om in te spelen op veranderingen in de omgeving.

Uit onze rijksbrede analyse is gebleken dat alle departementen nu beschikken over een visie voor informatiebeveiliging. Met uitzondering van één departement zijn deze stukken ook geformaliseerd binnen de organisatie. Met het ontwikkelen van een visie wordt het risico op ad-hoc beleid en het ontbreken van samenhang in uitgevoerde activiteiten verkleind. Het regelmatig evalueren en waar nodig herzien van de visie op basis van relevante ontwikkelingen behoeft wel de aandacht voor de komende jaren.

3.1.2 Twee departementen beschikken nog over beperkt of verouderd beleid

In BIR:2012 en BIR:2017/BIO (5.1.1) is beschreven dat beleidsregels behoren te worden gedefinieerd en gecommuniceerd met medewerkers. Daarnaast zijn in het VIR de elementen opgenomen die een informatiebeveiligingsbeleid tenminste zou moeten bevatten, en dat deze minstens eens in de drie jaar dient te worden herzien. Hiermee worden de randvoorwaarden gesteld om conform relevante wet- en regelgeving te sturen op informatiebeveiliging.

Het merendeel van de departementen beschikt over een actueel en geformaliseerd beleid op het gebied van informatiebeveiliging.

De meeste departementen die vorig jaar over een verouderd beleid beschikten, hebben deze in 2019 geactualiseerd en opnieuw laten vaststellen. Één departement is momenteel een verouderd beleid aan het herschrijven en een ander departement heeft wel een beleid beschikbaar, maar deze is van een te hoog abstractieniveau om houvast te bieden voor de uitwerking van decentrale beleids- en processtukken.

3.1.3 Meerderheid van departementen beschikt over bewustwordingsprogramma voor medewerkers

Een bewuste medewerker is cruciaal voor informatiebeveiliging. Zowel de BIR:2012 (8.2.2) en BIR:2017/BIO (7.2.2) als de VIR omschrijven het belang van het

implementeren van opleidingen en trainingen voor medewerkers, zodat zij zich bewust zijn van hun verantwoordelijkheden op het gebied van informatiebeveiliging en deze ook naleven.

De meerderheid van de departementen beschikt over een (meerjarig) plan voor IB- bewustzijn, waarbij moet worden aangemerkt dat een deel hiervan beperkt is

uitgewerkt. Één departement heeft geen bewustwordingsplan en één andere heeft deze recentelijk opgesteld en daarom nog niet in uitvoering gebracht. Dit jaar is wederom wel gebleken dat alle departementen activiteiten uitvoeren om het bewustzijn over informatiebeveiliging van de medewerkers te verhogen. Hieronder vallen bijvoorbeeld lunchlezingen, phishing-oefeningen of trainingen voor specifieke doelgroepen.

3.1.4 Bijna alle departementen werken met een jaarplan, vaak geen concrete vertaling naar benodigde middelen of samenhang met visie beschikbaar

Vorig jaar rapporteerden we dat nagenoeg alle departementen (al dan niet

geformaliseerde) jaarplannen hadden opgesteld om inzicht te geven in de voor dat jaar geplande activiteiten op het gebied van informatiebeveiliging. In 2019 hebben alle departementen gewerkt aan het opstellen van jaarplannen. Dit zorgt voor verdere samenhang tussen de uit te voeren activiteiten. Uit onze rijksbrede analyse blijkt dit jaar wederom een beperkte samenhang tussen visie, beleid en jaarplannen.

Hierdoor bestaat het risico dat geplande activiteiten niet in lijn zijn met de omschreven organisatiedoelstellingen, of dat er geen activiteiten worden ondernomen om gericht naar de doelen uit de visie toe te werken.

Niet alle opgestelde plannen hebben overigens echter een (volledige) uitvoering gekend in 2019, door bijvoorbeeld het ontbreken van capaciteit. Daarnaast zijn, evenals vorig jaar, beschreven activiteiten niet altijd zichtbaar vertaald naar een concrete planning of concreet benodigde middelen. Hierdoor blijft in een aantal gevallen onduidelijk of benodigde middelen en capaciteit aanwezig zijn.

3.1.5 Uitkomsten van audits bereiken nog niet altijd de bestuursraad en het Audit Committee

Via interne of externe onafhankelijke onderzoeken (audits) kan aanvullende zekerheid worden verschaft over de kwaliteit en effectiviteit van de genomen maatregelen voor informatiebeveiliging.

Bijna alle departementen bespreken in het Audit Committee de planning van audits (accountantscontrole en vraaggestuurd). De afgelopen jaren rapporteerden wij dat de uitkomsten (eventueel samengevat) van audits op het gebied van

informatiebeveiliging bij decentrale dienstonderdelen vaak niet gedeeld worden met het Audit Committee en/of bestuursraad. Dit jaar hebben wij dit wederom niet altijd aangetroffen. Hierdoor wordt de informatie uit audit- en pentestrapporten niet altijd optimaal benut als middel om inzicht te verkrijgen in de feitelijke veiligheid van de organisatie en hier gericht op te sturen.

3.2 Organisatie

Indicatoren en volwassenheidsscores:

Binnen het aandachtsgebied Organisatie is onderzoek gedaan naar het thema OR.01 (ownership, roles, accountability and responsibilities).

In onderstaand figuur zijn de gemiddelde scores voor OR.01 opgenomen. Hierbij is onderscheid gemaakt tussen de scores voor 2017, 2018, 2019 en het gewenste ambitieniveau.

Voor wat betreft de Organisatie van informatiebeveiliging signaleren wij de volgende ontwikkelingen en aandachtspunten:

- Sleutelposities voor informatiebeveiliging op centraal niveau verder ingevuld, maar op onderdelen ook nog kwetsbaar

- Toezichtsrol op informatiebeveiliging divers ingericht, tweedelijnstoezicht beperkt aanwezig

Doelstelling

Informatiebeveiliging is op het hoogst mogelijk organisatieniveau geadresseerd.

Het beheer van informatiebeveiliging is in lijn met de bedrijfsdoelstellingen, van toepassing zijnde risico’s en compliance eisen. Een onduidelijke vastlegging van rollen en verantwoordelijkheden kan besluitvorming in de weg staan. Daarom is het van belang dat verantwoordelijkheden, taken en rollen voor alle niveaus bepaald zijn en ingebed zijn in de organisatie.

(Naar: Handreiking bij Volwassenheidsmodel Informatiebeveiliging, NBA)

Figuur 3 - Gemiddelde scores (afgelopen drie jaar) over de departementen heen voor het onderzochte aandachtsgebied (OR.01) binnen het thema Organisatie. Voor dit aandachtsgebied hebben de departementen tevens een ambitie voor de lange termijn gedefinieerd.

0 1 2 3 4 5

OR.01

Organisatie

ambitie 2017 2018 2019

- Mate van centrale sturing op decentrale onderdelen varieert

3.2.1 Sleutelposities voor informatiebeveiliging op centraal niveau verder ingevuld, maar op onderdelen ook nog kwetsbaar

Vorig jaar signaleerden we wederom kwetsbaarheid van sleutelposities op het gebied van informatiebeveiliging op centraal niveau door o.a. uitstroom en de inzet van tijdelijke functionarissen.

Dit jaar constateren wij dat een deel van de departementen extra medewerkers heeft geworven om de CISO-functie te versterken door bijvoorbeeld een plaatsvervangend CISO aan te stellen. Daarnaast is er rijksbreed een lichte verschuiving waar te nemen van tijdelijke naar vaste krachten op deze

sleutelposities. Deze ontwikkelingen dragen bij aan de capaciteit om richting het gewenste ambitieniveau te groeien. Overigens zijn er ook nog steeds

departementen met een lage centrale bezettingsgraad op het gebied van informatiebeveiliging, waardoor achtervang van de CISO beperkt mogelijk is.

3.2.2 Toezichtsrol op informatiebeveiliging divers ingericht, tweedelijnstoezicht beperkt aanwezig

Het VIR schrijft voor dat informatiebeveiliging bij alle departementen een

lijnverantwoordelijkheid is. De eerstelijnsverantwoordelijkheid is daarom belegd bij de directeuren van de verschillende onderdelen. De organisatie van

informatiebeveiliging buiten deze lijnverantwoordelijken – en specifiek op het gebied van toezicht – is per departement verschillend ingericht.

Alle departementen beschikken op centraal niveau over een CISO of functionaris met een vergelijkbare functie. Deze vertegenwoordigt het departement in het rijksbrede CISO-overleg. De invulling van deze rol verschilt per departement, waarbij deze bijvoorbeeld kaderstellend of sturend ingestoken kan zijn. Bij een deel van de departementen draagt de CISO ook bij aan eerstelijnswerkzaamheden, zoals het uitvoeren van risicoanalyses.

Ook onderliggende organisaties en agentschappen van departementen beschikken veelal over een verantwoordelijke voor informatiebeveiliging, die tevens als linking pin voor de centrale CISO fungeert (bijvoorbeeld in de functie van decentrale CISO of informatiebeveiligingscoördinator).

Daarnaast beschikken alle departementen over een BVA. De invulling van de toezichtsfunctie van de BVA op het gebied van informatiebeveiliging en de daartoe ingerichte informatiestromen verschillen sterk per departement. Een deel van de departementen heeft als onderdeel hiervan bij de dienstonderdelen coördinatoren voor integrale beveiliging aangesteld, die als linking pin voor de BVA dienen en daarmee ook een rol hebben in het toezicht op informatiebeveiliging. Één

departement heeft in 2019 overigens de BVA-functie organisatorisch dichterbij de pSG gepositioneerd om de onafhankelijkheid van toezicht verder te kunnen borgen.

Tenslotte wordt bij een deel van de departementen het tweedelijnstoezicht op informatiebeveiliging uitgevoerd door (i)-controllers.

Vorig jaar gaven wij naar aanleiding van ons onderzoek de aanbeveling aan CIO-Rijk (zie ook hfst. 4) om in samenspraak met de departementen te evalueren welke activiteiten nodig zijn voor een optimale inrichting van tweedelijnstoezicht op het gebied van informatiebeveiliging (rekening houdend met de verschillende

karakteristieken van departementen). Deze evaluatie heeft nog niet

plaatsgevonden, en we constateren wederom een verschil in inrichting en diepgang van voornamelijk de tweedelijnscontrole.

3.2.3 Mate van centrale sturing op decentrale onderdelen varieert

Duidelijke afspraken met de verschillende decentrale onderdelen van een

departement dragen bij aan een consistente uitvoer van het beleid, en verhogen de eenduidigheid van de verkregen sturingsinformatie. Zoals in sectie 3.1.2

aangegeven beschikken (bijna) alle departementen over organisatiebreed geldend beleid voor informatiebeveiliging. De verdere uitwerking van dit beleid vindt bijvoorbeeld plaats in de procedures voor risicomanagement en

incidentmanagement, die in de volgende secties zullen worden beschreven. Hierbij is de verhouding tussen centrale en decentrale aansturing verschillend ingericht, waarbij een deel van de departementen ervoor kiest om processen voornamelijk centraal te ontwikkelen, en andere departementen centraal de belangrijkste handvaten opstellen en de verdere uitwerking bij de deelorganisaties beleggen.

3.3 Risicomanagement

Indicatoren en volwassenheidsscores

Binnen het aandachtsgebied Risicomanagement zijn de volgende thema’s onderzocht:

• RM.01 - Information risk management framework

• RM.02 – Risk assessment

• RM.03 – Risk action and mitigation plan (including risk acceptance)

In onderstaand figuur zijn de gemiddelde scores voor Risicomanagement (verdeeld over RM.01, RM.02, RM.03) opgenomen. Hierbij is onderscheid gemaakt tussen de scores voor 2017, 2018, 2019 en het gewenste ambitieniveau.

Doelstelling

Risicomanagement draagt zorg voor het op gestructureerde wijze identificeren en beheersen van informatiebeveiligingsrisico’s zodanig dat de risico’s in lijn zijn met de risicobereidheid en het risicoraamwerk van de organisatie.

Om inzicht te krijgen in het risicoprofiel van de organisatie is het van belang om analyses uit te voeren. Met een risicoraamwerk voor informatiebeveiliging dat in lijn is met het organisatiebrede model, kunnen risico's juist worden ingeschat en kan het behalen van bedrijfsdoelstellingen ondersteund worden. Bij het

uitvoeren van risicoanalyses worden plannen opgesteld om risico's te verkleinen of te accepteren. Door het uitvoeren en monitoren van deze verbeterplannen wordt schade aan de organisatie vermeden.

(Naar: Handreiking bij Volwassenheidsmodel Informatiebeveiliging, NBA)

Figuur 4 - Gemiddelde scores (afgelopen drie jaar) over de departementen heen voor de onderzochte aandachtsgebieden (RM.01 t/m RM.03) binnen het thema Risicomanagement. Voor deze aandachtsgebieden hebben de departementen tevens een ambitie voor de lange termijn gedefinieerd.

0 1 2 3 4 5

RM.01 RM.02 RM.03

Risicomanagement

ambitie 2017 2018 2019

In onderstaand figuur is opgenomen in hoeverre departementen beschikken over de documenten behorend bij de key-elementen (zie sectie 2.10) voor het thema Risicomanagement:

De overige key-elementen voor Risicomanagement betreffen de mate van centraal inzicht in de feitelijke veiligheid van systemen. Dit is hieronder verder uitgewerkt in sectie 3.3.4.

Voor wat betreft het risicomanagement van informatiebeveiliging signaleren wij de volgende ontwikkelingen en aandachtspunten:

- Meer departementen beschikken over een risicomanagementbeleid, formuleren risicobereidheid blijft rijksbreed achter

- Departementen verkrijgen sturingsinformatie van deelorganisaties, frequentie en diepgang verschillen per departement

- Informatie over status van kritieke systemen vaak niet volledig, hierdoor beperkt centraal inzicht in de feitelijke veiligheid van kritieke systemen

3.3.1 Meer departementen beschikken over een risicomanagementbeleid, formuleren risicobereidheid blijft achter

Door risicoanalyses binnen een departement met dezelfde systematiek uit te voeren wordt het vergelijken van risico’s eenvoudiger en zijn departementen beter in staat de belangrijkste informatiebeveiligingsrisico’s te vergelijken en te wegen. Een departementsbreed proces en raamwerk voor risicomanagement biedt hierbij ondersteuning. Onderdeel hiervan zijn richtlijnen voor het wegen en monitoren van risico’s, maar ook voor het bepalen van risicobereidheid en –acceptatie.

Vorig jaar rapporteerden wij dat één van de departementen over een

departementsbreed proces en raamwerk voor risicomanagement beschikte. Sinds ons vorige onderzoek hebben meerdere departementen hieraan gewerkt, waardoor nu zes departementen beschikken over een departementsbreed

0 12 3 45 67 89 1011

RM beleid/-proces Overzicht belangrijkste systemen incl.

kenmerken Aanwezigheid key-elementen Risicomanagement

Ja Deels of concept Nee

Figuur 5 - Aanwezigheid van de key-elementen voor het thema Risicomanagement [I/II]

risicomanagementbeleid en -framework dat ook handvaten biedt aan de deelorganisaties voor de uitvoer van risicomanagement.

De rest van de departementen beschrijft centrale richtlijnen voor risicomanagement slechts op hoofdlijnen.

Overigens heeft slechts één van de departementen de risicobereidheid gedefinieerd en gecommuniceerd. Bij de overige departementen is dit niet het geval, waardoor het mogelijk is dat risicoacceptaties op systeemniveau niet in lijn zijn met de (impliciete) risicobereidheid van het departement. Hierdoor bestaat bijvoorbeeld het risico dat systeemeigenaren ten onrechte risico's accepteren.

3.3.2 Departementen verkrijgen sturingsinformatie van deelorganisaties, frequentie en diepgang verschillen per departement

Momenteel loopt bij enkele departementen een pilot waarbij in plaats van een In Control Verklaring (ICV) een informatiebeveiligingsbeeld (IBB) wordt opgesteld. Het doel hiervan is om meer focus te leggen op gelopen risico's en het onderwerp informatiebeveiliging beter onder de aandacht te krijgen bij de bestuursraad. Het IBB-format bevat overigens geen verplichte bijlages omtrent gelopen risico's en lopende verbeterplannen op systeemniveau, waardoor het mogelijk is dat centraal geen volledige sturingsinformatie wordt ontvangen.

Evenals vorig jaar maakt de meerderheid van de departementen gebruik van zelfevaluaties of deel-ICV's voor het verkrijgen van inzicht over

informatiebeveiliging op decentraal niveau. Drie departementen stellen

wegingsverslagen op om aan te duiden welke risico's terugkomen in de ICV of het IBB. Ongeveer de helft van de departementen maakt daarnaast gebruik van tussentijdse producten (bijvoorbeeld proef-ICV's of zelfevaluaties) om ook tussentijds inzicht te verkrijgen en de mogelijkheid te hebben om te sturen. Een deel hiervan koppelt hier ook een gesprek met de dienstonderdelen aan. De rest van de departementen heeft in de meeste gevallen één formeel moment in het jaar waarin deze informatie op wordt gehaald.

Omdat nog niet alle departementen tijdens ons onderzoek het proces omtrent de ICV van 2019 hadden afgerond, zijn deze bevindingen deels gebaseerd op het proces en uitvraag voor de ICV van 2018.

3.3.3 Informatie over status van kritieke systemen vaak niet volledig, hierdoor beperkt centraal inzicht in de feitelijke veiligheid van kritieke systemen

BIR:2012 en BIR:2017/BIO (12.6) schrijven voor dat informatiesystemen

regelmatig behoren te worden beoordeeld op naleving van beveiligingsnormen, door middel van bijvoorbeeld risicoanalyses en penetratietests.

De meeste departementen maken gebruik van een risicokaart of vergelijkbaar overzicht om de relevante kenmerken van systemen bij te houden. Een deel hiervan is geïntegreerd in ISMS-tooling, en diverse departementen zitten momenteel in een implementatietraject om ook naar ISMS-tooling over te stappen.

Bijna alle departementen houden centraal per (kritiek) systeem bij wanneer voor het laatst een Quickscan of risicoanalyse uit is gevoerd. Hierbij moet wel worden opgemerkt dat deze informatie vaak niet compleet is.

Ongeveer de helft van de departementen houdt daarnaast bij welke verbeterplannen momenteel lopen om bestaande risico’s te mitigeren, en een klein deel legt centraal ook het momenteel gelopen risico vast. Een deel van de departementen verkrijgt ook inzicht in de voortgang van verbeterplannen, maar bij de meeste

departementen is dit niet structureel ingericht. Zes departementen houden bij wanneer voor het laatst een audit of pentest uit is gevoerd.

Als onderdeel van de key-elementen hebben wij specifiek de centrale vastlegging van recent uitgevoerde a) Quickscans of risicoanalyses en b) audits of pentesten onderzocht, waarbij ‘recent’ gedefinieerd is als maximaal drie jaar oud.

Op basis van de centrale monitoring van departementen zelf, signaleren wij dat ongeveer 35 procent van de kritieke systemen beschikt over een recente

risicoanalyse en ongeveer 15 procent van de kritieke systemen de afgelopen drie jaar is onderworpen aan een audit of pentest. De onderstaande diagram (Figuur 6) geeft deze analyse weer. Hierbij constateren wij geen groei ten opzichte van het voorgaande onderzoek in 2018², maar zelfs een lichte daling. Dit kan onder andere worden verklaard door een toename in hoeveelheid kritieke systemen, en de

onderhand verouderde staat van risicoanalyses en beveiligingsonderzoeken die vóór medio 2016 plaats hebben gevonden.

Een informatiesysteem is kritiek als bij falen de uitvoering van een kerntaak niet langer kan worden gegarandeerd of een te beschermen belang van de organisatie niet langer kan worden beschermd (bron: Toelichting model in control verklaring inzake informatiebeveiliging 2019, 23 augustus 2019). Wanneer er op centraal

2 Over 2018 rapporteerden wij voor circa 40% van de kritieke systemen een recent uitgevoerde risicoanalyse, en voor circa 20% een recente audit of pentest.

Figuur 6 - Aanwezigheid van de key-elementen voor het thema Risicomanagement [II/II]

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Risicoanalyse Audit of pentest Key-elementen Risicomanagement: kritieke systemen

Ja Nee of niet bekend

niveau geen inzicht bestaat in de feitelijke veiligheid van de kritieke systemen, is het mogelijk ook niet bekend of er systemen zijn die niet aan centraal gestelde beveiligingseisen voldoen.

3.4 Incidentmanagement

Indicatoren en volwassenheidsscores

Binnen het aandachtsgebied Incidentmanagement zijn de volgende thema’s onderzocht:

• IM.01 – Incident management

• IM.02 – Incident escalation

In onderstaand figuur zijn de gemiddelde scores voor Incidentmanagement

(verdeeld over IM.01, IM.02) opgenomen. Hierbij is onderscheid gemaakt tussen de scores voor 2017, 2018, 2019 en het gewenste ambitieniveau.

Doelstelling

Incidentmanagement draagt zorg voor het afhandelen van verstoringen in IT- dienstverlening en voor tijdig herstel van afgesproken betrouwbaarheidsniveaus (gemeten naar beschikbaarheid, integriteit en vertrouwelijkheid). Incidenten kunnen een negatieve impact hebben op de betrouwbaarheid van IT van een departement. Wanneer een procedure is ingericht om incidenten te registreren, analyseren en af te handelen, kan de schade worden beperkt. Hierbij is het ook belangrijk dat heldere afspraken tussen centrale en decentrale onderdelen gemaakt zijn over afhandeling en monitoring van incidenten. Als de oplossing niet met de beschikbare middelen of tijd kan worden afgerond, geeft een centrale escalatieprocedure de mogelijkheid om het incident effectief af te handelen.

(Naar: Handreiking bij Volwassenheidsmodel Informatiebeveiliging, NBA)

Figuur 7 - Gemiddelde scores (afgelopen drie jaar) over de departementen heen voor de onderzochte aandachtsgebieden (IM.01 en IM.02) binnen het thema incident- management. Voor deze aandachtsgebieden hebben de departementen tevens een ambitie voor de lange termijn gedefinieerd.

0 1 2 3 4 5

IM.01 IM.02

Incidentmanagement

ambitie 2017 2018 2019

In onderstaand figuur is daarnaast opgenomen in hoeverre departementen beschikken over de documenten behorend bij de key-elementen (zie sectie 2.10) voor het thema Incidentmanagement:

Voor wat betreft incidentmanagement omtrent informatiebeveiliging signaleren wij de volgende ontwikkelingen en aandachtspunten:

- Een derde van de departementen beschikt over een vastgestelde departementsbrede procedure voor incidentmanagement

- Departementen werken aan centraal inzicht in incidenten - Escalatie van incidenten blijft grotendeels een ad hoc proces

3.4.1 Een derde van de departementen beschikt over een vastgestelde departementsbrede procedure voor incidentmanagement BIR:2012 (13.1.1) en BIR:2017/BIO (16.1.1) schrijven voor dat

verantwoordelijkheden en procedures rondom informatiebeveiligingsincidenten dienen te worden vastgesteld om op gecontroleerde wijze informatie te verkrijgen over voorgedane incidenten. Decentrale onderdelen van departementen beschikken vaak over eigen incidentenprocessen die toegespitst zijn op de karakteristieken van de organisatie. Om op centraal niveau eenduidig inzicht te kunnen krijgen in de belangrijkste voorgedane incidenten, is het van belang dat er ook centraal een incidentenproces beschikbaar is met o.a. richtlijnen voor het afhandelen en melden van deze incidenten.

Vorig jaar rapporteerden we een lichte groei in de hoeveelheid departementen die beschikten over een centrale incidentmanagementprocedure. Dit jaar constateren we dat diverse departementen de incidentenprocessen verder aan het inrichten zijn, maar ook dat bij twee departementen het incidentenproces onderhand is verouderd.

Daarmee beschikken momenteel vier van de departementen over vastgestelde en 01

23 4 56 78 109 11

Centraal overzicht

incidenten Formele

incidentenprocedure Formele escalatieprocedure Aanwezigheid key-elementen Incidentmanagement

Ja Deels of concept Nee

Figuur 8 - Aanwezigheid van de key-elementen voor het thema Incidentmanagement

departementsbrede kaders voor incidentmanagement. Twee departementen beschikken over een proces dat voor een deel van de organisatie van kracht is, en voor drie andere departementen is wel een conceptprocedure aanwezig. Twee departementen beschikken niet over een incidentenproces.

3.4.2 Departementen werken aan centraal inzicht in incidenten

Op centraal niveau kunnen incidentmeldingen belangrijke sturingsinformatie opleveren voor de regie op de beheersing van informatiebeveiliging. Trends in incidenten kunnen immers een indicatie zijn dat (aanvullende) beheersmaatregelen nodig zijn.

Bij zes departementen wordt op centraal niveau een overzicht van de (belangrijkste) incidenten bijgehouden. Het aanbrengen van prioriteit of categorie aan incidenten vindt ook bij deze departementen nog niet altijd plaats. Bij de rest van

departementen bestaat slechts inzicht in de incidenten van een beperkt aantal dienstonderdelen of worden alleen de datalekken bijgehouden.

Overigens hebben de meeste departementen wel kanalen ingericht om centraal geïnformeerd te worden over voorgedane incidenten. De departementen waar dit nog niet structureel plaatsvindt, werken momenteel aan procedures en afspraken om deze informatiestroom verder in te richten en departementsbreed te

uniformeren.

3.4.3 Escalatie van incidenten blijft grotendeels een ad hoc proces

Heldere vastlegging van afspraken en verantwoordelijkheden voor escalatie van incidenten kan de impact van een ernstig incident op de bedrijfsvoering verlagen doordat tijdig en op het juiste niveau wordt gehandeld.

Drie ministeries beschikken over een geformaliseerde procedure voor het escaleren van informatiebeveiligingsincidenten. Drie ministeries zijn deze procedures

momenteel aan het ontwikkelen. De rest van de departementen heeft geen escalatieprocedure vastgelegd of heeft dit slechts op hoofdlijnen beschikbaar.

4 Opvolging van aanbevelingen 2018

4.1 Activiteiten ondernomen voor opvolging aanbevelingen op departementaal niveau, afronding dient wel veelal nog plaats te vinden

Alle departementen hebben in 2019 in meer of mindere mate gewerkt aan de opvolging van aanbevelingen over 2018, waarbij de meeste departementen nog niet alle activiteiten af hebben gerond om de aanbevelingen volledig als afgerond te kunnen beschouwen. Daarnaast wordt de opvolging van een deel van de

aanbevelingen ook ingevuld door middel van langlopende verbetertrajecten, zoals het implementeren van tooling, waardoor deze niet altijd binnen een jaar tot afronding kunnen komen. In de deelrapportages is voor elk departement aangegeven in hoeverre de aanbevelingen uit 2018 zijn opgevolgd.

4.2 Activiteiten opgestart door CIO-Rijk voor opvolging aanbevelingen, effect nog beperkt

4.2.1 Aanbevelingen 2018

De directie CIO-Rijk heeft de verantwoordelijk om de optimale vormgeving van ICT binnen de Rijksoverheid te bevorderen door het stellen van kaders en het toezien daarop. In 2018 hebben wij naar aanleiding van onze bevindingen uit het rijksbrede onderzoek daartoe ook aanbevelingen gedaan aan CIO-Rijk:

1. Stuur nadrukkelijker op de door de departementen vastgestelde ambitieniveaus en neem daarin ook de haalbaarheid in middelen mee;

2. Verduidelijk in samenspraak met de Rijks-BVA de taakverdeling tussen CIO, CISO en BVA op het gebied van informatiebeveiliging;

3. Organiseer daarbij nadrukkelijker samenwerking over departementen heen, bezie of roulatie of tijdelijke uitwisseling van medewerkers haalbaar is;

4. Evalueer in samenspraak met de departementen welke activiteiten nodig zijn voor een optimale inrichting van tweedelijns toezicht op het gebied van informatiebeveiliging, rekening houdend met de verschillende

karakteristieken van de departementen;

5. Stuur nadrukkelijker op de feitelijke veiligheid van systemen, mogelijk via KPI’s als onderbouwing in bijvoorbeeld de ICV’s;

6. Evalueer het ICV-traject informatiebeveiliging in samenspraak met de CISO’s en ga na wat minimaal als onderbouwing nodig wordt geacht om een in control verklaring te kunnen afgeven.

4.2.2 Diverse ontwikkelingen in 2019

Sinds ons vorige onderzoek heeft directie CIO-Rijk diverse activiteiten opgestart.

Eind 2019 heeft de minister van BZK in een brief aan de Tweede Kamer beschreven op welke wijze de sturing op IV (inclusief informatiebeveiliging) de komende jaren

zal worden versterkt. In de brief worden concrete acties genoemd die deels al in 2019 op zijn gestart, en in de loop van 2020 verdere vorm zullen krijgen. Deze activiteiten hangen nauw samen met de hierboven genoemde aanbevelingen. Voor de meeste aanbevelingen zijn reeds activiteiten in gang gezet, maar de opvolging kent in de meeste gevallen nog geen volledige afronding.

4.2.3 Pilot nieuw format ICV-traject uitgevoerd, evaluatie in 2020

Aan aanbeveling 6 is opvolging gegeven. Een deel van de leden van het CISO- overleg heeft een pilot opgestart om in 2019 het ICV-traject in een nieuwe vorm uit te voeren (zgn. informatiebeveiligingsbeeld). Deze wordt in de eerste helft van 2020 geëvalueerd.

4.2.4 Inzicht in feitelijke veiligheid en ambitie van departementen onder de aandacht via CISO-gesprekken, nog geen sturing op deze onderwerpen

In de CISO-gesprekken van 2019 zijn de gedefinieerde ambitieniveaus, bestaande gap en de monitoring op feitelijke veiligheid vaste agendapunten geweest

(aanbeveling 1 en 5). Uit de verslagen blijkt echter nog geen sturing op deze onderwerpen.

4.2.5 Beschrijving (herziene) verantwoordelijkheden CIO, CISO en CISO-Rijk krijgt in 2020 vervolg

In 2019 is een start gemaakt met het opstellen van de CIO-en CISO-profielen (aanbeveling 2) en de functiebeschrijving voor de nieuw aan te stellen CISO-Rijk.

Het formaliseren van deze stukken krijgt in 2020 vervolg.

4.2.6 CISO-overleg verder ingericht om samenwerking te bevorderen

Om samenwerking over de departementen heen te faciliteren (aanbeveling 3) is DGOO gestart met het verder formaliseren van het CISO-overleg. Onderdeel hiervan is de CISO-roadmap, waarin diverse projecten worden beschreven die door leden van het CISO-overleg op worden gepakt. Dit zorgt voor een brede samenwerking bij het opstarten van deze projecten, waarbij ook in wordt gespeeld op relevante ontwikkelingen.

4.2.7 Evaluatie tweedelijnstoezicht nog geen plaats gehad

Voor aanbeveling 4 is geen opvolging gebleken. Evenals vorig jaar constateren wij dat tweedelijnstoezicht divers en soms beperkt in is gericht.

5 Rijksbrede verbetermogelijkheden

5.1 Aanbevelingen aan CIO-Rijk

Op basis van het uitgevoerde onderzoek bij de elf departementen, en bij de afdeling van CIO-Rijk zelf, geven wij de volgende aanbevelingen:

1. Stimuleer de departementen actief om het inzicht in de feitelijke veiligheid van de (kritieke) systemen te verhogen, door onder andere periodiek risicoanalyses en beveiligingsonderzoeken uit te voeren en de belangrijkste uitkomsten centraal bij te houden;

2. Neem bij de evaluatie van de pilot van het informatiebeveiligingsbeeld ook mee welke informatie over kritieke systemen centraal minimaal dient te worden ontvangen om over voldoende sturingsinformatie te beschikken.

3. In 2019 is gestart met het opstellen van (verbeterde) CISO- en CIO- profielen. Zet de ingezette lijn voort om op rijksbreed niveau verduidelijking aan te brengen in de verdeling van verantwoordelijkheden op het gebied van informatiebeveiliging;

4. Onderzoek hierbij ook, in samenspraak met de departementen, de optimale inrichting van tweedelijns toezicht op het gebied van informatiebeveiliging, rekening houdend met de verschillende karakteristieken van de

departementen.

5.2 Goede voorbeelden

Voorgaande jaren hebben wij elf goede voorbeelden op departementsniveau opgenomen in onze overkoepelende rapportage. Wij zijn van mening dat deze voorbeelden nog altijd voor departementen bruikbaar zullen zijn, zoals de jaarlijkse toezichtscyclus van SZW en het gebruik van proef-ICV’s inclusief terugkoppeling door BZK (beiden uit rapport over 2017). Aanvullend lichten wij dit jaar het volgende goede voorbeeld toe onder de activiteiten die in 2019 zijn ondernomen.

5.2.1 Risicoregister van J&V

J&V heeft dit jaar een risicoregister opgesteld waarin de hoge risico’s worden vastgelegd. Hierin wordt het bruto-risico beschreven, evenals mitigerende maatregelen (en indien van toepassing een streefdatum). Het uiteindelijke netto- risico wordt vervolgens geclassificeerd. Dit overzicht biedt inzicht in wat de gelopen risico’s zijn en welke maatregelen daarvoor worden getroffen. J&V is hierdoor in staat om actief en gericht te kunnen sturen en voortgang te monitoren. Nota bene:

ten tijde van ons onderzoek was J&V voor een deel van de organisaties nog bezig met het invullen van de risico’s. De werking van sturing en monitoring op basis van het overzicht zal voor ons daarom hierna pas kunnen blijken.

6 Ondertekening

Den Haag, 25 juni 2020 Senior IT-Auditor Auditdienst Rijk

7 Managementreactie CIO-Rijk

In deze rapportage is op basis van de per departement opgestelde deelrapportage een rijksbreed beeld geschetst. Dit beeld is besproken met de CIO’s en CISO’s van de kerndepartementen. De CIO Rijk en de departementen spreken hun waardering uit voor de wijze waarop de ADR de onderzoeken heeft uitgevoerd.

Wij herkennen het rijksbrede beeld dat in de rapportage wordt geschetst ten aanzien van de volwassenheid van informatiebeveiliging binnen de Rijksdienst.

Hierbij stellen wij op prijs dat de ADR erkenning geeft voor het vele werk dat het afgelopen jaar is verzet en voor de wederom rijksbreed geconstateerde lichte groei in volwassenheid die daarmee is bereikt.

De vastgestelde volwassenheidsniveaus en de ambities variëren per departement en zijn mede afhankelijk van de te beschermen belangen en de dreigingen die worden onderkend. Het volwassenheidsniveau wordt daarom ook niet rijksbreed normatief gehanteerd. Daarbij realiseren wij ons dat de groei van het volwassenheidsniveau zich op onderdelen nog beter moet gaan verhouden tot het tempo waarin de dreigingen toenemen.

Mede om deze redenen wordt de verbetering van het zicht op de feitelijke veiligheid en de uitvoering van risicoanalyses en audits aan de orde gesteld in de jaarlijkse CISO- en CIO-gesprekken.

Tot slot herkennen wij ons in de aanbevelingen van de ADR en nemen wij deze over.

L.J. Visser, CIO-Rijk en voorzitter van het CIO-beraad (ontvangen op 24-06-2020)

8 Bijlage A – Volwassenheidsniveaus per thema

In deze bijlage is de verdeling van volwassenheidsniveaus per onderzocht

aandachtsgebied weergegeven. Figuur 10 geeft de verdeling van niveaus weer voor de aandachtsgebieden thema’s Governance en Organisatie en Figuur 9 voor

Incident- en Risicomanagement.

1 2

6 5

2

10 8

5 6

9 1

0 1 2 3 4 5 6 7 8 9 10 11

GO.01 GO.02 GO.03 GO.05 OR.01

Verdeling scores Governance en Organisatie

1 2 3 4 5

1 1

7 9

4 6

10

3 2

6 5

1

0 1 2 3 4 5 6 7 8 9 10 11

IM.01 IM.02 RM.01 RM.02 RM.03

Verdeling scores Incident- en Risicomanagement

1 2 3 4 5

Figuur 10 - Verdeling van volwassenheidsniveaus van de departementen voor de verschillende aandachtsgebieden binnen de thema's Governance en Organisatie

Figuur 9 - Verdeling van volwassenheidniveaus van de departementen voor de verschillende aandachtsgebieden binnen de thema's Incidentmanagement en Risicomanagement

9 Bijlage B – Overzicht key-elementen

In deze bijlage is de aanwezigheid van key-elementen per onderzocht thema weergegeven:

• Governance: Figuur 11

• Risicomanagement (Figuur 12 voor generieke elementen en Figuur 13 specifiek voor tellingen omtrent de kritieke systemen)

• Incidentmanagement: Figuur 14

Figuur 12 - Aanwezigheid van de key-elementen voor het thema Risicomanagement [I/II]

0 12 3 45 67 89 1011

Visie Beleid Jaarplan Awareness -

programma Aanwezigheid key-elementen Governance

Ja Deels of concept Nee

0 12 34 5 67 89 1011

RM beleid/-proces Overzicht belangrijkste systemen incl.

kenmerken Aanwezigheid key-elementen Risicomanagement [I/II]

Ja Deels of concept Nee

Figuur 11 - Aanwezigheid van de key-elementen voor het thema Governance

Figuur 13 - Aanwezigheid van de key-elementen voor het thema Risicomanagement [II/II]

(met betrekking tot de kritieke systemen) 0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Risicoanalyse Audit of pentest Aanwezigheid key-elementen Risicomanagement

[II/II]: Kritieke systemen

Ja Nee of niet bekend

01 2 34 56 78 109 11

Centraal overzicht

incidenten Formele

incidentenprocedure Formele escalatieprocedure Aanwezigheid key-elementen Incidentmanagement

Ja Deels of concept Nee

Figuur 14 - Aanwezigheid van de key-elementen voor het thema Incidentmanagement

10 Bijlage C – Gehanteerd referentiekader

Onderstaande tabel bevat de beschrijving van de onderzochte aandachtsgebieden (control name) uit de ‘Handreiking bij Volwassenheidsmodel Informatiebeveiliging’

van de Koninklijke Nederlandse Beroepsorganisatie van Accountants (NBA). Naast onderstaande beschrijving is in het volwassenheidsmodel ook per aandachtsgebied aangegeven wat de kenmerken zijn per volwassenheidsniveau (1 t/m 5).

Area & ID Control name Risk description Control description Governance -

GO.01 Strategy An absence of strategy can lead to poor business and security decisions or inappropriate response to changes in the business environment.

An information security strategy and vision is leading for all activities and measures concerning information security

Governance -

GO.02 Policy Inability to comply with legislative, regulatory and/or internal IT (security) requirements due to an ineffective policy framework which supports the IT strategy and information security.

The organization has adopted a security policy which is

communicated to employees (and contractors) via a written policy document or intranet. If applicable, the policy is also actively communicated to suppliers/vendors. The policy is regularly updated, reviewed and approved by senior management.

Governance -

GO.03 Plan /

Roadmap Guidance and support for information security in accordance with business objectives, risks and compliance requirements is not provided by the

organization.

Business objectives, risks and compliance requirements are translated into an overall information security plan, taking into consideration IT infrastructure and the security culture.

Governance -

GO.05 Independent

assurance Compliance and performance are not reviewed and confirmed by an independent party, leading to possible unknown and unaddressed deviations in compliance and/or performance.

Independent assurance (internal or external) is obtained about conformity of IT with relevant laws and regulations; the organization’s policies, standards and

procedures; generally accepted practices; and the effective and efficient performance of IT.

Organization -

OR.01 Ownership,

roles,

accountability and

responsibilities

Unclear or ambiguous ownership, roles, accountability or responsibilities can jeopardize effective decision-making,

management and reporting on information security concerning business requirements/risks.

Information security is managed at all appropriate organizational levels and security actions are managed in line with business

requirements / risks.

Ownership, roles, accountability and

responsibilities have been formally assigned and

embedded into the organization.

Risk

Management - RM.01

Information risk

management framework

Information risk & control management framework is not in line with the

organization-wide model for risk management, resulting in misinterpretations of risks and/or failure to meet IT and business objectives.

An Information risk

management framework has been established and aligned to the organization’s objectives and (enterprise) risk

management framework.

Risk

Management - RM.02

Risk

assessment Inherent and residual risks are not (timely) identified and assessed. Likelihood and impact are not determined, resulting in failure to implement action plans and mitigating controls or risk initiatives.

Risk assessments are executed to determine actual risk profiles regarding business objectives. The likelihood and impact of all identified risks are assessed on a recurrent basis, using qualitative and

quantitative methods. The likelihood and impact

associated with inherent and residual risks are determined per category, on a portfolio basis.

Risk

Management - RM.03

Risk action and mitigation plan (including risk acceptance)

Risk responses are not identified and implemented.

Required actions are not communicated and executed, leading to possible manifestation of risks. High costs/low

benefits related to moderate or low risks. Failure to prioritize risks can lead to higher costs or lower benefits.

Control activities are prioritized and planned at all levels to implement the necessary risk responses, including

identification of costs, benefits and responsibility for

execution. Approval is obtained for recommended actions and acceptance of residual risks, and ensures that committed actions are owned by the affected process owner(s). The execution of plans is monitored and any deviations are

reported to senior management.

Incident / Problem Management - IM.01

Incident

management Incidents are not properly classified and are treated incorrectly in the incident and problem management process, ultimately

decreasing the performance (e.g. integrity and

availability) of IT.

A formal incident management process is communicated and implemented. Procedures are in place to ensure that all incidents and failures are recorded, analyzed, categorized and prioritized according to impact. All incidents are tracked and periodically reviewed to ensure they are resolved in a timely manner.

Incident / Problem Management - IM.02

Incident

escalation Incidents are not identified, resolved, reviewed,

escalated and analyzed in a timely manner, ultimately leading to decreased performance (e.g. integrity and availability) of IT.

Incident management (or service desk) procedures are established so, if incidents cannot be resolved within the agreed period, service levels are appropriately escalated and, if appropriate,

workarounds are provided.

Incident ownership and life cycle monitoring remain with the service desk for user-based incidents, regardless which IT group is working on resolution activities

Auditdienst Rijk Postbus 20201 2500 EE Den Haag (070) 342 77 00