In ons jaarlijkse verantwoordingsonderzoek onderzoeken wij onderdelen van de informatiebeveiliging van het ministerie. Deze onderdelen, de te toetsen normen en te onderzoeken beheersmaatregelen zijn geselecteerd vanuit een risicogebaseerde benadering. Veelal is de Baseline Informatiebeveiliging Overheid (BIO) het uitgangspunt.
We maken onderscheid tussen onderzoeken:
- naar de informatiebeveiliging van specifieke (onderdelen van) IT-systemen;
- naar de informatiebeveiligingsprocessen binnen het ministerie zoals de toegepaste kaders en ministeriebrede processen om risico’s te beheersen. Deze onderzoeken maken deel uit van het rijksbrede informatiebeveiligingsonderzoek.
Rijksbreed onderzoek naar informatiebeveiliging
Sinds 2014 vormt het rijksbrede onderzoek naar de informatiebeveiliging een vast onderdeel van het verantwoordingsonderzoek. Vanaf 2020 voeren wij dit onderzoek alleen nog uit op de aandachtsgebieden die bij ministeries niet op orde waren. Het gebruikte beoordelingskader bestaat uit 12 normen, verdeeld over de volgende 4 aandachtsgebieden:
- Beleid;
- Organisatie;
- Risicomanagement;
- Incidentmanagement.
We toetsen zowel de beschreven procedures en verantwoordelijkheidsverdeling op papier, als het bestaan en de werking daarvan in de praktijk. Ons oordeel baseren we op de effectiviteit van de beheersmaatregelen, de ernst van de bevinding per beheersmaatregel, en de opvolging van aanbevelingen uit het voorafgaande verantwoordingsjaar.
De minister is verantwoordelijk dat de informatiebeveiliging op zijn ministerie op orde is. Als wij afwijkingen van de wet- en regelgeving constateren, of als een belangrijke beheersmaatregel ontbreekt, zijn dit tekortkomingen. Die kunnen leiden tot (ernstige) onvolkomenheden. Daarbij is onder andere van belang:
- Hoe lang deed de tekortkoming zich voor?
- Hoe hoog was het risico?
- Hoe ernstig verstoorde de tekortkoming de bedrijfsvoering van het ministerie?