Base description which applies to whole site

3.4.2 Informatiebeveiliging

Informatisering speelt een grote rol bij het functioneren van de rijksoverheid. Met informatiesystemen kan informatie steeds meer en steeds sneller worden verwerkt en uitgewisseld. Tegelijkertijd wordt de rijksoverheid steeds afhankelijker van deze systemen en ontstaan er nieuwe kwetsbaarheden of mogelijkheden tot misbruik. Informatie moet dan ook goed beveiligd worden om de betrouwbaarheid van informatiesystemen en daarmee het functioneren van de rijksoverheid te waarborgen.

We hebben gekeken naar de stand van zaken van informatiebeveiliging bij het Rijk en de knelpunten die zich hierbij voordoen. Bij alle kernministeries en bij een aantal baten-lastendiensten zijn wij nagegaan in welke mate de kwaliteit van het informatiebeveiligingsbeleid voldoet aan het Voorschrift Informatiebeveiliging Rijk 2007 (VIR 2007, artikel 3). Weten de ministeries bijvoorbeeld welke informatiesystemen en informatieketens zij in huis hebben en hebben zij de lijnmanagers aangewezen die hiervoor verantwoordelijk zijn? Is het beleid op het hoogste niveau vastgesteld? Wordt het regelmatig geëvalueerd en zo nodig bijgesteld?

We zijn ook nagegaan in hoeverre de beveiliging van informatiesystemen voldoet aan de eisen (VIR 2007, artikel 4). Hebben de lijnmanagers bijvoorbeeld de specifieke risico’s van de informatiesystemen en -ketens onderzocht en de noodzakelijke beveiligingsmaatregelen getroffen? En worden die maatregelen ook geëvalueerd en zo nodig bijgesteld?

Figuur 11 laat zien hoe de ministeries en diensten scoren. Naarmate de horizontale lijn langer is, voldoet een ministerie of dienst aan meer onderdelen van de artikel 3 en 4 van het VIR.

Figuur 11 Naleving VIR 2007

Figuur 11 Naleving VIR 2007

Toelichting: Kwaliteit informatiebeveiligingsbeleid is getoetst aan art. 3 VIR 2007, beveiliging informatiesystemen is getoetst aan art. 4 VIR 2007.

We constateren dat de volgende ministeries en diensten de noodzakelijke aandacht geven aan informatiebeveiliging: het Ministerie van Defensie, IVENT (dienst van Defensie) die het beide op alle onderzochte punten goed doen, het Ministerie van BuZa en DICTU (dienst van EL&I). Bij de andere onderzochte ministeries en diensten hebben wij onvolkomenheden en aandachtspunten geconstateerd (zie in figuur 11 de categorieën «onvoldoende» respectievelijk «voor verbetering vatbaar»). Wij sporen de betreffende ministeries aan omissies in de beveiliging voortvarend ter hand te nemen.21

Licence