Informatiebeveiliging
Op een aantal terreinen is in het jaar 2014 een aanzienlijke voortgang geboekt op het gebied van informatievoorziening:
-
• Binnen alle grote uitvoeringsorganisaties is naast een CIO (Chief Information Officer, verantwoordelijk voor het inrichten van de informatiemanagementfunctie in de organisatie) ook een CISO (Chief Information Security Officer), belast met de implementatie van de BIR-maatregelen binnen de eigen organisatie aangesteld;
-
• Alle CISO’s hebben dezelfde vakopleidingen (CISSM en CISA) gevolgd en komen maandelijks bij elkaar, waarbij de voortgang op de implementatie van de BIR (Baseline Informatiebeveiliging Rijksdienst) wordt besproken en ervaringen/best practices worden uitgewisseld;
-
• In 2014 is een compleet overzicht tot stand gekomen van alle informatiesystemen die door de uitvoeringsorganisaties als kritieke worden ervaren, de zogeheten risicokaart. In totaal zijn er binnen VenJ 88 kritieke systemen;
-
• Voor al deze kritieke systemen moet een actuele (niet ouder dan drie jaar) risicoanalyse beschikbaar zijn, waarin risicobeperkende maatregelen worden vastgesteld. Tevens moet per systeem op basis van deze risicoanalyse een plan van aanpak voor het invoeren van deze maatregelen worden opgesteld en moeten de maatregelen daadwerkelijk worden ingevoerd.
Bij aanvang van 2014 beschikte slechts ongeveer 30% van alle kritieke systemen over een actuele risicoanalyse. Eind 2014 is dit percentage gestegen tot 74%. In het eerste kwartaal van 2015 beschikken alle kritieke systemen over een actuele risicoanalyse. Voor 32 van de 88 kritieke systemen was per ultimo 2014 een plan van aanpak opgesteld.
Grote lopende ICT-projecten (risico’s voor privacy en uitvoering)
VenJ heeft een actuele lijst met lopende grote projecten. Conform de procedures rapporteert VenJ over grote en risicovolle projecten onder andere met het Rijks ICT-dashboard en via de Jaarrapportage Bedrijfsvoering Rijk van de Minister van Wonen en Rijksdienst aan de Tweede Kamer. Naast de verplichte risicoanalyse en de Privacy Impact Assessments (PIA) bij de ontwikkeling of wijziging van een informatiesysteem heeft VenJ ook al ruim ervaring opgedaan met de in 2014 voor grotere projecten verplicht gestelde ICT Haalbaarheidstoets. VenJ is betrokken geweest bij een groot aantal haalbaarheidstoetsen, en was vijf maal opdrachtgever. Ook het instrument Gateway Review wordt veelvuldig ingezet. Met onder meer deze maatregelen is VenJ in control voor de grote en risicovolle projecten, inclusief de privacyrisico’s.
Tijdigheid van betalen (betaalgedrag)
De betalingstermijn voor de Nederlandse overheid is op dertig dagen gesteld. De norm is om 90% van de facturen op tijd te betalen. In 2014 is 93% van de facturen voor het Ministerie van VenJ op tijd (binnen 30 dagen) betaald. Het ministerie voldoet daarmee aan de norm.
Activiteiten Audit Committee in 2014
Het Audit Committee (AC) is het adviesorgaan voor de departementale leiding. In het AC zitten vier externe leden die vanuit hun expertise op het terrein van bestuur, financiële verslaglegging en informatievoorziening gevraagd en ongevraagd advies geven over het borgen van de kwaliteit van de bedrijfsvoering, de regie op het auditbeleid, het risicomanagementbeleid en de uitkomsten ervan. Het AC is de eerste helft van 2014 maandelijks bijeengekomen om zodoende voldoende aandacht te houden op de voortgang van de verbeterprogramma’s. Begin 2014 hebben de leden van het AC haar werkzaamheden informeel geëvalueerd. Na de zomer is het AC vervolgd in de reguliere frequentie van één vergadering per kwartaal. In januari 2014 heeft één van de externe leden van het AC zich teruggetrokken. In september is een nieuw extern AC-lid benoemd.
Tot slot
Er hebben zich geen knelpunten voorgedaan die buiten mijn verantwoordelijkheidsgebied liggen en die een belemmering vormen voor het leveren van de prestaties.
De bovengenoemde punten verdienen de aandacht maar zijn niet zodanig dat deze een bedreiging vormen voor de goede uitvoering van de taken van het ministerie. Ik heb er alle vertrouwen in dat de getroffen maatregelen effect sorteren. De bedrijfsvoering van de organisatieonderdelen voldoen, met inachtneming van bovenstaande punten, aan de daaraan te stellen eisen.