Agendering IV meting en Monitor, sponsorschap en aanwezigheid Forum leden
Content
| Vergadering: | Forum Standaardisatie woensdag 7 december 2022 |
|---|---|
| Agendapunt: | 4B |
| Documentnummer: | FS-20221207.4B |
| Aan: | Forum Standaardisatie |
| Van: | Bureau Forum Standaardisatie |
| Datum: | |
| Versie: | |
| Bijlage: | n.v.t. |
| Opstellers: | Bureau Forum Standaardisatie |
| Rechten: | CC0 publieke domein verklaring |
Ter kennisname en bespreking
Ieder Forumlid wordt gevraagd om:
- een update te geven over het verspreiden en agenderen van de monitor Open Standaarden en IV-meting onder zijn/haar achterban;
- een update te geven over hun sponsorschap;
- kennis te nemen van het overzicht van de aanwezigheid.
1. Agendering meting IV-standaarden en Monitor & sponsorschap Forum-leden
(ter controle en aanvulling)
| Lid | Organisatie | Sponsor | Agendering iv-meting 2019 en eerder | Agendering iv-meting 2021 en monitor 2020 | Overige | Contactpersoon BFS |
|---|---|---|---|---|---|---|
| Larissa Zegveld | Kennisnet |
-Voorzitter -1 overheidsdomein-naamextensie -Digitoegankelijk |
OBDO 22/4/2019, CTO-raad 22/5/2019, CIO-beraad 11/7/2019 |
CIO-beraad 16/11/2022; CTO-raad 12/10/2022; OBDO 7/4/2022; College voor Dienstverleningszaken 9/7/2020, CTO-raad: 16/9/2020, Vooroverleg CIO-beraad 12/10/2020, CIO-beraad: 4/11/2020 |
StasBZK 7/12/2022 (eenduidige overheid), 6/7/2022 (werk Forum), 9/5/2022 (eenduidige overheid); Deel Manifestgroep 7 november (eenduidige overheid); OBDO 10-2-2022 (eenduidige overheid); Directeurenoverleg 1-overheid- domeinnaamextensie 18/1/2021, MCU-inspiratiegroep toekomstbestendige dienstverlening: 30/11/2020 en 27/1/2021 | Ludwig Oberendorff |
| Rudi Bekkers | TU Eindhoven | -Internationaal | Sinds 2022 lid van de sponsorgroep internationaal | Han Zuidweg | ||
| Gijs Boudewijn | Betaalvereniging | -Stuurgroep VEC | Toegetreden tot stuurgroep VEC | Bart Knubben | ||
| Yvonne van der Brugge / Peter den Held | Logius |
-Secretaris -Digitoegankelijk -(Identity mngt) |
SSC-ICT CTO Raad 22 mei 2019, ‘pas toe of leg uit’ opgenomen in Logius ‘Definition of Done/Ready | Implementatietraject internetstandaarden CIO-Logius; Kennismakingsronde gericht op rol CIO-offices. | Ludwig Oberendorff | |
| Thomas Faber | Min EZK | -Opdrachtgeverschap | x/x/2022 (datum en gremium nader te bepalen) | Reindert Gerding | ||
| Cor Franke | Franke Interim Mngt |
-API’s -Ptolu Next Level -identitymngt -Semantiek |
Reindert Gerding | |||
| Gerard Hartsink | ICC (International Chamber of Commerce) |
-Internationaal -Financieel - Identity Management - levensgebeurtenis/semantiek |
Follow up PBLQ rapport ‘Europese benchmark’; Deelname in de Forumbegeleidingsgroep van het onderzoek Internationale standaardisatie - Rapportage over ISO TC 307 Blockchain ontwikkelingen” |
Redouan Ahaloui | ||
| Marc van Hilvoorde | CIO Rijk | CTO-raad 22/5/2019, 16/9/2020, CIO-beraad 11/7/2019, 4/11/2020, ICIA 28 november 2019, Nota CIO-Rijk & AZ/DPC aan CTO raad 18/3/2019, eTIB: 10/10/2019 |
CIO-beraad 16/11/2022; CTO-raad 12/10/2022; CISO-raad (GEPLAND TKN) CIO beraad 23 sept 2020, CTO-raad: 16/9/2020 |
Opdrachtgever technische impact analyse 1-domeinnaamextensie rond 25/1/2022; Directeurenoverleg 1-overheid-domeinnaamextensie 18/1/2021; |
Désirée Castillo Gosker | |
| Floor Jas | SURF |
-Stuurgroep lijsten & adoptie -Platform Internet Standaarden -Ptolu Next Level |
Aandacht gevraagd voor iv-standaarden in voorjaar 2020 voor doelgroep (n.a.v. ransomwareaanval Universiteit Maastricht); tijdens presentatie voor CIOnet 9 juni 2020 aandacht gevraagd voor veilige / betrouwbare domeinnamen (en internet.nl). 1 april grap (2022) met de IV-metingen (conform internet.nl) die we altijd aan het begin van het kwartaal verspreiden. We hebben de metingen verspreid (doen we normaal de eerste maandag van het kwartaal) en de meeste scores opeens op 100% gezet. Levert interessante reacties. Onder andere: mensen die denken dat dit komt omdat Microsoft dingen verbeterd heeft in Office365, mensen die al taart willen bestellen voor de afdeling, en ja ook mensen die meetfouten vermoeden of een 1 april grap). In ieder geval een dagje volop aandacht voor de (niet altijd even jofele scores op de ) IV-standaarden. |
SURF voert al enkele jaren ieder kwartaal internet-veiligheidsmetingen uit, de IV-metingen (internet.nl API), om in kaart te brengen in hoeverre onderwijs- en onderzoeksinstellingen voldoen aan de lijst van verplichte standaarden. Rijks- en semioverheid moeten zich aan de standaarden op deze lijst houden bij de aanschaf en inrichting van ICT-systemen. SURF participeert in het Forum Standaardisatie, dat deze lijst heeft opgesteld. De resultaten van de laatste versie is gepubliceerd in juni 2022 en is hier te vinden: Naast het Cyberdreigingsbeeld ondersteunt SURF de aangesloten instellingen in het beoordelen van hun volwassenheid ten aanzien van informatiebeveiliging en privacy. Hiervoor wordt het Normenkader Informatiebeveiliging Hoger Onderwijs gebruikt, dat is afgeleid van ISO27002:2013 en een toetsingskader gebaseerd op Volwassenheidsmodel Informatiebeveiliging v2.0 van de NBA. Zie: https://www.surf.nl/surfaudit-inzicht-in-je-informatiebeveiliging-en-privacy. De resultaten van de (benchmark)metingen SURFaudit zijn niet openbaar. |
Bart Knubben | |
| Hetty Lucassen | Min BZK |
-Opdrachtgeverschap -Inventarisatie standaardisatie -Quick Scan Data delen |
OBDO 12 februari 2019 OBDO 23 april 2019 |
ADR (loopt) IPv6 meting OBDO maart 2022. |
StasBZK 7/12/2022 (eenduidige overheid); 6/7/2022 (werk Forum); StasBZK 9/5/2022 (eenduidige overheid); OBDO 10-2-2022 (eenduidige overheid); (via MT collega Desiree Geerts) Directeurenoverleg 1-overheid- domeinnaamextensie 18/1/2021 Implementatietraject internetstandaarden CIO-BZK |
Ludwig Oberendorff |
| Joop van Lunteren | extern adviseur |
-Identity management -Ptolu next level - levensgebeurtenis/semantiek |
gezien rol als adviseur minder van toepassing bij ontbreken van achterban | gezien rol als adviseur minder van toepassing bij ontbreken van achterban | Follow up PBLQ rapport ‘Europese benchmark’ | Joram Verspaget |
| Benno Overeinder | NLnet Labs |
-Stuurgroep lijsten & adoptie -Internationaal -Ptolu next level -Monitor open standaarden |
Platform Internet Standaarden (IV-metingen) | Deelname in de Forumbegeleidingsgroep van het onderzoek Internationale standaardisatie | Bart Knubben | |
| Friso Penninga | Geonovum |
-API’s -Semantiek |
Redouan Ahaloui | |||
| Theo Peters | VNG Realisatie |
-API’s -Stuurgroep lijsten & adoptie |
Begeleidingscommissie onderzoek Inventarisatie Standaardisatie (VKA/Berenschot; 2019) | Han Zuidweg (Ludwig Oberendorff) | ||
| Ad Reuijl | CIP | -Inkoop (via CIP) | Tien keer een halfjaarsmeting verstuurd aan CIP-achterban in de vorm van persoonlijke mails. Inmiddels aan ca. 800 organisaties, 80% overheid, 20% markt. Per 1 januari gaat CIP een dienst bieden o.b.v. Basisbeveiliging.nl. Relevante standaarden Ptolu lijst onderdeel van Inkoop veilige hard- & software | Désirée Castillo Gosker | ||
| Harry Roumen | Min Fin, CIO Office | - Na agendering in het OBDO staat de meting/monitor op de agenda van het CIO-overleg van financiën, op de agenda van de architectuurboard van Financiën en het overleg van de CISO’s van Financiën. Op die manier bereiken we op diverse niveaus zowel het beleidsdepartement, de Belastingdienst als ook Toeslagen en Douane. De voortgang van eventuele maatregelen op gebied van de standaarden voor informatiebeveiliging wordt gerapporteerd door de CISO’s van de organisatieonderdelen. | Joram Verspaget | |||
| Geard Smits | Waterschapshuis | Landelijk programma informatieveiligheid en privacy voor de waterschappen/ WILMA (Waterschaps Informatie & Logisch Model Architectuur) | Afgelopen jaren dit besproken in: 1) Unie van waterschappen, werkgroep Digitale overheid; 2) Waterschapshuis, in programma informatieveiligheid en privacy. En dus ook in het landelijk CISO-overleg dat verbonden is aan dit programma; 3) Waterschappen in het i-platform: het landelijke overleg van i-managers en i-adviseurs. En vanuit deze 3 ingangen is het besproken in de waterschappen. 1) Waterschapshuis: inkoop belooft standaarden van het Forum zo veel als mogelijk in aanbestedingen mee te nemen. | Ook dit rapport wordt besproken in: 1) Unie van waterschappen, werkgroep Digitale overheid; 2) Waterschapshuis in programma informatieveiligheid en privacy. En dus ook in het landelijk CISO-overleg dat verbonden zijn aan dit programma; 3) Waterschappen in het i-platform het landelijke overleg van i-managers en i-adviseurs. En vanuit deze 3 ingangen wordt het besproken in de waterschappen. 1) Waterschapshuis: continue aandacht bij inkoop voor meer aanbestedingen met OS; 2) Waterschapshuis: Programma organisatie en Samenwerking, is beheerder van de WILMA (Waterschaps Informatie & Logisch Model Architectuur) en van de zojuist opgeleverde Softwarecatalogus; onderzoekt welke delen in de WILMA moeten worden opgenomen. |
De uitkomsten van de metingen hebben geleid tot discussies over het volgen van de PTOLU-lijst versus het bereiken van het doel. Waterschappen kiezen voor het bereiken van het doel liefst met de lijst. Hierover is discussie gevoerd met het bureau FS. CERT-WM monitort intussen niet alleen de 23 domeinen van de meting, maar ook alle aanpalende domeinen (240 stuks). In gesprek met de waterschappen en Microsoft voor het aangaan van een frameovereenkomst gelijk als (liefst beter) Rijskoverheid en VNG gedaan hebben. Met inkoop van het Waterschapshuis afgesproken dat (open) standaarden en normering (NEN en ISO) meegenomen worden in de markt-consultaties voor opname in de aanbesteding. Bij reacties dan worden OS echt meegenomen. WILMA Softwarecatalogus, die nu landelijk door alle waterschappen wordt gevuld, ondersteunt hierbij. Vanuit het programma informatie veiligheid en privacy loopt in samenspraak met de Unie van Waterschappen, een discussie op landelijk niveau met de secretaris directeuren over informatieveiligheid: waar staat men en kan er nog een tandje bij? Dit nav situatie bij de Waterunie (follow the money) |
Annemieke Toersen |
| Michiel Steltman | DINL |
- Ptolu next level - Knelpunten adoptie |
Begeleidingscommissie onderzoek Inventarisatie Standaardisatie (VKA/Berenschot; 2019) Begeleidingscommissie onderzoek Inventarisatie Standaardisatie (VKA/Berenschot; 2019), Michiel staat op de cover en met een interview in het Magazine Monitor Open Standaarden 2019 en in de zomer met interview in Publiek Denken. |
- Cloud (in afstemming met beschikbare capaciteit) : OTC (Online Trust Coalitie), Gaia-X, CSA (Cyber security act) | Arianne de Man | |
| Hans Tijl | Bijeenkomst met CISOs van provincies om ze te wijzen op verplicht uitvragen van relevante standaarden bij aanbestedingen. | Han Zuidweg (Arianne de Man) | ||||
| NEN |
NEN draagt graag bij aan het dossier Internationaal met onderwerpen als CEN/CLC/ETSI, ISO/IEC en Rolling Plan. NEN is lid van de stuurgroep open standaarden |
Nieuw IV-beleid NEN wordt eind 2022 afgerond, waarna IV-meting begin 2023 plaatsvindt. | NEN is namens CEN en CLC direct betrokken bij opstellen Rolling Plan | Annemieke Toersen (Redouan Ahaloui) |
2. Aanwezigheid Forum-leden
| 13/6/ 2018 | 10/10 2018 | 12/12 2018 | 13/3 2019 |
24/4 2019 | 12/6 2019 | 9/10 2019 |
11/12 2019 | 4/3 2020 | 6/5 2020 | 24/6 2020 | 7/10 2020 | 9/12 2020 | 10/3 2021 | 21/4 2021 | 6/6 2021 | 29/9 2021 |
9/12 2021 | 9/3 2022 |
20/4 2022 |
8/6 2022 |
28/9/2022 | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Larissa Zegveld (per maart 2019) | ||||||||||||||||||||||
| Yvonne van der Brugge / Geert Nederhorst / Peter den Held (Logius) | - | - | - | |||||||||||||||||||
| Rudi Bekkers | - | - | - | - | - | |||||||||||||||||
| Gijs Boudewijn | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | - | |||
| Cor Franke | - | - | - | - | - | - | - | - | - | |||||||||||||
| Gerard Hartsink | - | - | ||||||||||||||||||||
| Marc van Hilvoorde | - | - | - | - | - | - | ||||||||||||||||
| Floor Jas | - | - | - | |||||||||||||||||||
| Hetty Lucassen (BZK) (per mrt 2020), Gé Linssen (BZK) (tot mrt 2020) | - | - | - | - | - | |||||||||||||||||
| Joop van Lunteren (adviseur) | - | - | - | |||||||||||||||||||
| Thomas Faber (EZK) (per okt 2019), Geert Moelker (EZK) (tot okt 2019) | - | - | - | - | - | - | - | - | - | |||||||||||||
| Benno Overeinder | - | |||||||||||||||||||||
| Friso Penninga | ||||||||||||||||||||||
| Theo Peters | - | - | - | |||||||||||||||||||
| Ad Reuijl | - | - | - | - | - | |||||||||||||||||
| Harry Roumen | - | - | - | - | - | - | - | - | - | - | ||||||||||||
| Gerard Smits | - | - | - | - | - | - | ||||||||||||||||
| Michiel Steltman | - | - | - | - | - | - | ||||||||||||||||
| Hans Tijl (per apr 2022) | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | x | - |
3. Planning agendering Monitor & IV-meting in gremia (conform afspraak OBDO)
| ICT opdrachtgeverschap en contractmanagement | Aanschaf en inkoop | Informatiebeveiliging en bedrijfsvoering | Toezicht en handhaving | |
|---|---|---|---|---|
| Gemeenten | College van dienstverleningszaken: 9/7/2020 | VNG Taskforce Samen Organiseren: x/x/2023 | VNG Adviesraad IBD: x/x/2023 | VNG Taskforce Samen Organiseren: x/x/2023 |
| Rijk | CIO-beraad: 11/7/2019, 3/6/2020, 4/11/2020, 16/11/2022, Vooroverleg CIO-beraad 12/10/2020, CTO-raad: 22/5/2019, 16/9/2020, 2/11/22, EZK/LNV CIO-raad: x/x/2023 | ICIA (strategie rijkinkoopbeleid): 28/11/2019 |
SIB / CISO overleg (Strategisch Informatiebeveiligings Beraad): 6/10/22, eTIB: 10/10/2019 Interdepartementaal Overleg Cybersecurity (IOCS) van 10 november 2021 |
ADR – status? |
| Provincies | SIO (Strategisch Informatie Overleg): x/x/2023 | Centraal Platform van Inkopers: x/x/2023 | CIBO: 10/9/2019, x/x/2023 | Ambtelijke Adviescommissie MTH (Milieu, Toezicht en Handhaving), x/x/2023 |
| Waterschappen | iPlatform Waterschapshuis: x/x/2023 | PM | Coördinatoren Informatieveiligheid Waterschappen (CIW): x/x/2023 | PM |
| Uitvoeringsorganisaties | Manifestgroep: x/x/2023, Programmeringsraad: Logius x/x/2023 | IMO (directeuren inkoop uitvoeringsorganisaties Rijk): 6/2/2020 en daarna over een half jaar | PM | PM |
| Allen | NORA gebruikersraad 26 maart 2020 |