Aanhangsel van de Handelingen
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2013-2014 | 14 |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Nummer | Datum ontvangst |
---|---|---|---|---|
Tweede Kamer der Staten-Generaal | 2013-2014 | 14 |
Heeft u kennis genomen van het artikel «DUO niet goed beveiligd» op de website van ScienceGuide?1
Klopt het dat de Auditdienst Rijk (ADR) in 2011 al heeft vastgesteld dat het informatiebeveiligingsplan niet volledig was afgerond? Klopt het dat eind 2012 er nog steeds sprake is van dat DUO «voortdurend risico's op het gebied van informatiebeveiliging loopt»? Welke concrete acties heeft u ondernomen of gaat u ondernemen om het tactische security-management te verbeteren?
Informatiebeveiliging vraagt continu om de volle aandacht. De bevindingen van de Auditdienst Rijk (ADR) zijn daarbij van belang en de adviezen worden opgevolgd. De ADR heeft in zijn rapport over 2011 inderdaad vastgesteld dat het informatiebeveiligingsplan niet volledig was afgerond en dat er nog enkele onderdelen ontbraken, namelijk koppeling met het OCW-informatiebeveiligingsbeleid, een controlcyclus rond de informatiebeveiliging en een «beveiligingsbewustzijnsprogramma».
In het rapport over 2012 heeft de ADR gesteld dat DUO Groningen risico's op het gebied van informatiebeveiliging loopt. Daarbij is de situatie door de ADR ingeschaald als «gemiddeld».2 Van voortdurende risico’s op het gebied van informatiebeveiliging is naar mijn mening geen sprake, het securitymanagement is operationeel op orde.
Het ADR-advies betreft de verbetering van het tactisch securitymanagement en het opstellen van een bedrijfscontinuïteitsplan (BCP).
Overeenkomstig het advies werkt DUO aan het inrichten van het tactisch securitymanagement, waarbij de Baseline Informatiebeveiliging Rijksoverheid als uitgangspunt wordt genomen. In opvolging van het advies is het management met de Taskforce Informatiebeveiliging op voldoende niveau betrokken bij het bewaken van de voortgang en het uitvoeren van de controlcyclus.
Dit is gerealiseerd door het voorzitterschap van de Hoofddirecteur Bedrijfsvoering en de deelname van de Chief Information Officer, de Centrale Security Officer en de manager van afdeling Informatie- en Communicatietechnologie. De ADR zal voor zijn rapportage over 2013 bezien of er voldoende voortgang is geboekt bij het inrichten van het tactisch securitymanagement.
Overeenkomstig het tweede advies wordt gewerkt aan verbetering van het bedrijfscontinuïteitsplan. Een volledig bedrijfscontinuïteitsplan vergroot immers de kans dat in het geval van een calamiteit de juiste procedures worden gevolgd. Om te borgen dat er in geval van incidenten juist wordt gehandeld, heeft DUO ervoor gekozen om bedrijfscontinuïteitsmanagement (BCM) in te richten. Eind 2013 worden bedrijfscontinuïteitsplannen opgeleverd voor de meest kritische bedrijfsprocessen. De ADR zal ook op dit punt bezien of er voldoende voortgang is geboekt.
Klopt het dat voor het bewaken van de voortgang en het uitvoeren een controlcyclus het auditrapport stelt dat het essentieel is dat het management van DUO «zichtbaar betrokken is»? Deelt u de stelling dat het management meer «zichtbaar betrokken» moet zijn? Zo ja, hoe wendt u uw invloed aan om dit te realiseren?
Klopt het dat in het aangehaalde auditrapport staat dat het ontbreken van een bedrijfscontinuïteitsplan (BCP) de kans vergroot dat bij een calamiteit niet de meest doelmatige procedures worden gevolgd? Klopt het dat dit kan leiden tot een groot politiek afbreukrisico? Bent u voornemens om nog dit jaar capaciteit vrij te maken voor het opstellen van een overkoepelend BCP, zoals in het auditrapport wordt aanbevolen?
Klopt het dat in het auditrapport expliciet gewaarschuwd wordt voor de risico's op het gebied van informatiebeveiliging, mede door de vele klantrelaties en de sterke afhankelijkheid van ICT? Deelt u de mening dat invoering van het leenstelsel deze kwetsbaarheid verder zou kunnen vergroten en studenten daardoor nog meer risico lopen dat hun vertrouwelijke gegevens in handen komen van onbevoegden?
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/ah-tk-20132014-14.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.