Informatiebeveiliging
De Baseline Informatiebeveiliging Overheid (BIO) beschrijft de controls en maatregelen die minimaal benodigd zijn om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie(systemen) te waarborgen. Afgelopen jaar is er op basis van de BIO de jaarlijkse risico-inventarisatie uitgevoerd, is er een actieplan informatieveiligheid en privacy vastgesteld en is het informatieveiligheidsbeleid getoetst. Eén aspect hiervan is de uitvoer van zogenaamde DPIA’s (Data protection impact assessment). We hebben ons, vanwege de enorme omvang van dit gebied, op twee sporen gericht. Allereerst hebben alle nieuwe of alle grote wijzigingen in informatiesystemen een DPIA ondergaan. Daarnaast zijn er verplichte DPIA’s op de bestaande werkprocessen uitgevoerd. Deze zijn onderdeel van een meerjarenplanning. Tot op heden zijn er in totaal 171 DPIA’s (waarvan 45 op processen [37 in 2021] en 126 op informatiesystemen [63 in 2021]) uitgevoerd.
Ten behoeve van de functiescheidingen en autorisaties zijn processen verbeterd: het eigenaarschap is verscherpt en knelpunten zijn in beeld gebracht. Daarnaast zijn er profielen gemaakt, waardoor het aanvragen en doorvoeren van autorisaties vereenvoudigd is.
Om beter bestand te zijn tegen bedreigingen van buitenaf is gestart met de logging en monitoring van de IT systemen. Er zijn voorbereidingen getroffen om de meest cruciale infrastructurele systemen aan te kunnen sluiten op een automatisch loggings- en monitoringssysteem, waardoor dreigingen van buitenaf sneller en beter in beeld zijn en daarop de noodzakelijke acties uitgevoerd kunnen worden.
Verder vond in 2021 de jaarlijkse formele onafhankelijke audit plaats op informatieveiligheid. Deze (gebundelde) audit richt zich op een beperkt aantal gebieden, te weten DigiD en SUWInet. In 2021 is deze audit voor de vijfde keer op rij succesvol doorlopen. Dit betekent dat de DigiD aansluitingen en de toegang tot SUWInet voldoen aan de informatieveiligheidseisen van de toezichthouder/ketenpartner.