Aandacht voor digitale veiligheid in het inkoopproces

voorstellen Yosta Dammen Ruim 30 jaar sociale zekerheid Business/IT-alignment Centrum Informatiebeveiliging & privacybescherming BIO / ICO

Ondersteunings- programma Agenda Korte introductie CIP Korte introductie BIO en thema- uitwerkingen Inkoopeisen Cybersecurity Overheid Roadmap Inkoopproces Wizard Ondersteunings- programma BIO ICO Thema- uitwerkingen

Samen werken aan optimale informatieveiligheid en privacy voor Nederlandse overheden

Principes Voor allen, door allen Gesloten beurs Netwerkorganisatie met deel-communities Persoonlijke communicatie Volg de energie Creative Commons (doorontwikkelen)

CIP netwerk Leden: 3.050 personen 650 organisaties

BIO algemeen Urgentie op politiek niveau Reguliere bijstelling (evaluatie) ISO 27002:2013 Operationele verbeteringen Gezamenlijke ontwikkeling binnen overheden Ingangsdatum BIO 1-1-2019 2019 implementatie binnen alle overheidslagen, overgangsjaar 2020 feitelijke veiligheid Baselines voor informatieveiligheid BIR voor Rijksdienst IBI voor Provincies BIG voor Gemeentes BIWA voor Waterschappen

Algemene Practices overheden BIO en toepassing Verplichtend BIO Samenvatting Thema, kort overzicht relatie thema en BIO 2-pager per praktijkthema Verbindingsdocument 11 Thema-uitwerkingen met SIVA methodiek Thema-uitwerking Ondersteunend NORA/ISOR Objecten-bibliotheek Algemene Practices overheden Bestaande algemeen bruikbare Practices uit het veld (bijv. OP-producten) Het versterken van governance, het stimuleren van eigenaarschap en verantwoordelijkheid bij de lijn BIO Bijeenkomsten gericht op specifieke inhoudelijke onderwerpen als risicoanalyse en risicomanagement, privacy, toegangsbeveiliging. ICO Bijeenkomst gericht op specifieke ondersteuning met 1ste inkoopsegment Het ondersteunen van de BIO met toelichtende thema-uitwerkingen, verbindingsdocumenten en aanvullende specifieke handreikingen

Inkoopeisen Cybersecurity (ICO) Roadmap Digitale Veilige Hard -en Software: Het ene doen, het andere niet laten

Roadmap: Inkoopeisen Cybersecurity (ICO) Inkoopbeleid van de overheid Inkoopeisen Cybersecurity Overheid Standaarden en certificering Stimuleren van de ontwikkeling van veilige producten en diensten

Roadmap: Inkoopeisen Cybersecurity (ICO) De overheid kan met haar inkoopbeleid de vraag naar digitaal veilige ICT-producten en diensten stimuleren. Zij is namelijk een belangrijke gebruiker. Door cybersecurity criteria op te nemen in het inkoopbeleid moeten leveranciers van de overheid voldoen aan deze eisen. Hierdoor ontstaat een prikkel voor aanbieders om digitaal veilige producten op de markt te brengen. De overheid geeft hiermee het goede voorbeeld. Hoe zorgen we ervoor dat de producten en diensten die de overheid inkoopt veilig zijn? Digitale veiligheid is een essentiële randvoorwaarde voor vertrouwen in onze digitale economie en samenleving. De Roadmap Digitaal Veilige Hard- en Software biedt een samenhangend pakket aan maatregelen om onveiligheden in hard- en software te voorkomen, kwetsbaarheden te detecteren, en om de gevolgen daarvan te verminderen in de hele productlevenscyclus. De overheid richt zich in de breedte op de BIO (Baseline Informatiebeveiliging Overheid) als standaard voor veiligheid. Daarnaast wordt vanuit Inkoopeisen Cybersecurity Overheid, via een multidisciplinaire werkgroep met een brede overheidsvertegenwoordiging, nagedacht over de haalbaarheid van een set van algemene voorwaarden/minimum inkoopeisen voor de gehele Rijksoverheid. Doel daarvan is het bereiken van een situatie dat opdrachtgevers, inkopers en contractmanagers goede veiligheidseisen mee kunnen geven bij het inkopen van Digitale Veilige Hard- en Software en vervolgens het nakomen ervan bewaken. Hoe wordt dat operationeel uitgewerkt en hoe zorgen we ervoor dat de producten en diensten die de overheid inkoopt veilig zijn? Het eerste uitgewerkte inkoopsegment Softwareontwikkeling is de basis voor deze sessie. Daarover gaan we interactief met elkaar in gesprek, gericht op de praktische toepassing binnen organisaties en hun inkoopprocessen.

Inkoopeisen Cybersecurity Overheid Inkoopeisen in BIO-context Verplichtend BIO Inkoopeisen Cybersecurity Overheid Verbindingsdocument Thema-uitwerking Ondersteunend NORA/ISOR Algemene Practices overheden

Inkoopeisen Cybersecurity (ICO) Inkoopsegmenten gebaseerd op BIO Thema’s: Applicatieontwikkeling en softwarepakketten Server en Platform Huisvesting en toegangsbeveiliging Communicatie en Netwerk Cloud Database en Opslag beproefde specifieke kaders als SSD, web-richtlijnen en veilige internetstandaarden Inkoopverbindingsdocument gericht op inkoopproces en actoren SPINK / ICO-Wizard

Inkoopverbindingsdocument Actoren in het inkoopproces: Opdrachtgever Inkoper Contract/leveranciersmanager Leverancier Acceptatietester

Inkoopverbindingsdocument Inkoopeisen security aanvullend op: Europese aanbestedingsregels Specifieke duurzaamheidsregels Arbit / Arvodi Alleen relevante voorwaarden, geen overkill

ICO Wizard Uitgangspunten bij ontwikkeling: Makkelijke selectie te maken Splitsing in opdrachtgever/opdrachtnemer eisen Hoofdselecties (hoog-midden-laag), product/proces, kleine partijen Toetsbaar Alle security eisen in 1 tool, toepassing adhv opdracht

Vervolg ICO Werkgroep ICO: Try-out ICO Wizard eind juni Start volgende inkoopsegment: Server en Platform Uitbreiding inkoopverbindingsdocument en Wizard Try-out ICO Wizard eind juni Workshops gericht op de actoren in inkoopproces Dit jaar 3 inkoopsegmenten, volgend jaar de rest

Meer weten? Op Pleio-community van het Centrum Informatiebeveiliging en Privacybescherming (CIP) kun je in gesprek met andere inkoop- functionarissen over de ICO en BIO: cip.pleio.nl op het Forum BIO, Praco Inkoop en Werkgroep ICO Op de website van de BIO vind je meer informatie over de BIO en het ondersteuningsprogramma (workshops per thema, leeractiviteiten, onderliggende documentatie) www.bio-overheid.nl Thema-uitwerkingen zijn terug te vinden op het Forum BIO: cip.pleio.nl bij productcategorie BIO en op NORA-online bij ISOR.