Nieuws 30 oktober 2018

NBA-model informatiebeveiliging basis plan van aanpak JenV

Minister Grapperhaus van Justitie en Veiligheid (JenV) heeft het plan van aanpak 'Verbetering centrale sturing en beheersing informatiebeveiliging Justitie en Veiligheid' naar de Tweede Kamer gestuurd. Het plan van aanpak is gebaseerd op het model van NBA-LIO om de volwassenheid van de centrale sturing en beheersing van informatiebeveiliging te meten.

Dat meldt Grapperhaus in een brief aan de Tweede Kamer. Aanleiding voor het plan van aanpak is het Verantwoordingsonderzoek 2017 van de Algemene Rekenkamer. Daarin stelde de rekenkamer dat het ministerie van VenJ stappen heeft gezet op het gebied van informatiebeveiliging en de centrale sturing en beheersing zijn verstevigd, maar dat er nog verbeteringen mogelijk zijn. "Met name op het gebied van risico- en incidentmanagement waren de verbeteringen nog onvoldoende gevorderd om de onvolkomenheid voor informatiebeveiliging op te heffen", aldus de minister.

Tijdens het verantwoordingsdebat op 13 juni zegde Grapperhaus de Tweede Kamer een plan van aanpak toe om de centrale sturing en beheersing van de informatiebeveiliging van het ministerie op een hoger niveau te krijgen. In 2017 scoorde het ministerie op een vijfpuntsschaal een gemiddeld volwassenheidsniveau van 2.9. Grapperhaus wil in 2021 groeien naar een gemiddeld volwassenheidniveau van 4.2. "Dat zal een behoorlijke inspanning vergen. Met name op het gebied van risico- en incidentmanagement (volwassenheidsniveau score resp. 2.3 en 2 in 2017) constateer ik dat nog verdere groei in volwassenheid noodzakelijk is."

Het model, Handreiking bij Volwassenheidsmodel informatiebeveiliging, wordt ook gebruikt door de Auditdienst Rijk (ADR) bij het jaarlijks meten van de volwassenheid van de informatiebeveiliging van alle departementen. De handreiking van mei 2016 is geschreven door een werkgroep onder leiding van toenmalig voorzitter Ingrid Doerga van het Ledengroepbestuur Intern- en overheidsaccountants van de NBA.