Overslaan en naar de inhoud gaan
ISMS binnen het Rijk
ISMS binnen het Rijk

Hoe de Rijksoverheid de vertaalslag maakt van strategie naar uitvoering

Digitalisering transformeert wereldwijd economieën en maatschappijen in een razendsnel tempo. Nederland heeft een goede uitgangspositie om de economische en maatschappelijke kansen van digitalisering te verzilveren. Tegelijkertijd roept digitalisering ook nieuwe, fundamentele vragen op. Bijvoorbeeld over de bescherming van informatie én van privacy. In dit interview legt Dhammika van Gent, Solution Manager bij Mavim, uit hoe Mavim samen met de Rijksoverheid hiervoor een passende oplossing heeft ontwikkeld en hoe zij hierbij te werk zijn gegaan.
 

Baseline Informatiebeveiliging Overheid

Vanuit de ambitie van het Rijk om voorop te (blijven) lopen en kansen optimaal te benutten heeft het Rijk uit hoofde van de Nederlandse Digitaliseringsstrategie een start gemaakt met waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiestromen. Hiervoor is één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO-normatiek ontwikkeld: de Baseline Informatiebeveiliging Overheid (BIO). 

Momenteel beschikken de verschillende bestuurslagen nog over een eigen baseline, de BIR (Rijk), BIG (gemeenten), IBI (provincies) en BIWA (waterschappen). Deze baselines zijn (met uitzondering van de BIR2017) voor een groot deel nog gebaseerd op de ISO-normering uit 2005 en lopen achter op de actuele ISO uit 2013 (NEN-ISO 27002). Om de informatiebeveiliging optimaal te professionaliseren is er behoefte aan een eenduidige en herkenbare stevige basis voor de gehele overheid.

Genericiteit en specificiteit

In het verleden beschikten ministeries ieder over eigen IT-afdelingen. Dit had een grote diversiteit in de wijze waarop informatie werd vastgelegd tot gevolg. Bovendien gebruikten informatiebeveiligingsambtenaren talloze, enorme spreadsheets voor ISO-normering en vastlegging van het applicatielandschap in het kader van informatiebeveiliging. Het spreekt voor zich dat dit veel onderhoud vergde en weinig tot geen inzicht verschafte. Daarop is besloten om informatie gestructureerd vast te leggen in een systeem. 

 

De ISO-normering bestaat uit:

  • generieke organisatiemaatregelen
  • specifieke organisatiemaatregelen
  • generieke systeemmaatregelen
  • specifieke systeemmaatregelen

 


Tegenwoordig worden ICT-diensten binnen de Rijksoverheid meer en meer ondergebracht bij zogenaamde Shared Service Centra. 

Omdat de generieke organisatiemaatregelen en generieke systeemmaatregelen uit de ISO veelal eenmalig centraal beoordeeld hoeven te worden, worden deze gesplitst ondergebracht bij een centrale IT-organisatie zoals de Shared Service Centra. Als gevolg hiervan is bijvoorbeeld de applicatie-eigenaar alleen nog verantwoordelijk voor de specifieke organisatie- en systeemmaatregelen. Dit brengt als extra voordeel met zich mee dat zaken niet dubbel hoeven te worden vastgelegd hetgeen fouten voorkomt en een enorme tijdsbesparing tot gevolg heeft. 

Mavim en de BIO

Voor de borging van de Baseline Informatiebeveiliging Overheid maakt de Rijksoverheid gebruik van het Mavim Platform. In nauwe samenwerking met de Solution Manager van Mavim zijn zowel alle processen vastgelegd in één omgeving, het Mavim Platform, als ook alle applicaties. Omdat Mavim het gebruik van diverse Rijksstandaarden ondersteunt, lag het vervolgens voor de hand om de Enterprise Architectuur Rijk eveneens in dezelfde omgeving vast te leggen. 

Daarbij leidde het hergebruik van informatie tot aanzienlijke tijdsbesparing. Opvallend aan het model dat gezamenlijk is ontwikkeld, is bovendien dat processen niet per sé leidend zijn, maar men zelf kan bepalen waar men wil beginnen. Tevens fungeert de oplossing niet als een soort IT-security check model omdat ook alle processen rond de beveiliging van informatie zijn beschreven. 

 

Voordelen:

  • alle processen in één omgeving
  • alle applicaties in één omgeving
  • architectuur in één omgeving
  • plug-and-play voor gebruik

 


Tenslotte biedt het model de mogelijkheid om qua beschrijving zover de diepte (detailniveau) in te gaan als men zou willen en men dus niet vastzit aan een specifiek detailniveau dat moet worden gehanteerd. Hierdoor is het ook voor ministeries, waar bijvoorbeeld minder applicaties draaien, interessant om het model te gebruiken. Ook biedt het model dashboards in Power BI die als rapportage richting het management kunnen dienen.

Wil je meer weten over het model informatiebeveiliging dat de Rijksoverheid in samenwerking met Mavim heeft ontwikkeld? Lees dan hier de praktijkcase van de Rijksoverheid.

 

Copyright © 2019 Mavim B.V.