Elk departement (in de persoon van de secretaris-generaal) heeft over 2017 een «in-control-verklaring» (ICV) afgegeven. Daarin staat dat het departement in control is ten aanzien van het Voorschrift Informatiebeveiliging Rijksdienst (VIR 2007), dat er voldoende zekerheid is dat de bedrijfsvoering voldoet aan het VIR en de Baseline Informatiebeveiliging Rijksdienst (BIR 2012), behoudens de genoemde risico’s en dat – waar nodig – aanvullende maatregelen zijn getroffen. In deze ICV’s staan risico’s die van zodanig belang zijn dat ze ook zijn opgenomen in de bedrijfsvoeringsparagraaf in het jaarverslag van het departement.

De Algemene Rekenkamer heeft in 2016 bij vijf departementen en enkele uitvoeringsorganisaties een onvolkomenheid voor informatiebeveiliging geconstateerd. In totaal constateerde de Algemene Rekenkamer acht onvolkomenheden bij de departementen en één bij een Hoog College van Staat. Het afgelopen jaar hebben de departementen eraan gewerkt deze onvolkomenheden op te lossen. De Chief Information Officer (CIO) Rijk heeft halfjaarlijkse gesprekken gevoerd met de CIO’s van alle ministeries over de voortgang van informatiebeveiliging. Het beeld dat uit deze gesprekken naar voren komt, is dat alle ministeries serieus werk maken van het oplossen van de geconstateerde onvolkomenheden, maar de daartoe in gang gezette initiatieven hebben soms tijd nodig om effect op te leveren.

Daarnaast is in 2017 een herziene Baseline Informatiebeveiliging Rijksdienst vastgesteld, die naar verwachting beter voldoet aan de behoefte van departementen. In de Jaarrapportage Bedrijfsvoering Rijk 2017 wordt verder ingegaan op de informatiebeveiliging bij het Rijk.