Veilige informatiesystemen en veilige industriële systemen bij de waterschappen, zoals waterkeringen, meetapparatuur en waterzuiveringsinstallaties zijn voor onze samenleving van cruciaal belang. Bij langdurige droogte en hevige regenval blijkt iedere keer weer hoe afhankelijk Nederland is van een goed beheerste waterhuishouding. De waterschappen spelen daarbij een cruciale rol en de informatiebeveiliging moet op orde zijn.
De 21 Waterschappen en het Waterschapshuis zijn in 2013 gestart met de implementatie van de Baseline Informatiebeveiliging Waterschappen (BIWA). Elk Waterschap (en ook het Waterschapshuis) heeft een eigen verantwoordelijkheid te voldoen aan BIWA-normen. Elk Waterschap is sinds 2013 bezig met de implementatie van de BIWA, individueel dan wel in (regionale) samenwerking met andere Waterschappen. Informatieveiligheid is een verantwoordelijkheid van de afzonderlijke Waterschappen, maar er bestaat een gezamenlijk belang bij een basisveiligheid in alle regio’s. Alle waterschappen en het Waterschapshuis hebben een nul-meting (GAP-analyse) uitgevoerd naar de stand van zaken rond Informatiebeveiliging en hebben een Beleid Informatiebeveiliging vastgesteld. Kenmerkend voor de Waterschappen is dat deze organisaties naast kantoorautomatisering ook industriële systemen binnen het IT-landschap hebben.
Alle Nederlandse Waterschappen en het Waterschapshuis (HWH) hebben zichzelf het doel gesteld om zichzelf extern te laten toetsen tegen de beveiligingsmaatregelen afkomstig uit de Baseline Informatiebeveiliging Waterschappen (BIWA). Deze toetsing is geen doel op zich, maar moet het lijnmanagement van de waterschappen en HWH in staat stellen gerichte maatregelen te treffen in de Plan-Do-Check-Act (PDCA) cyclus om de beveiliging van de processen, applicaties en systemen te vergroten. Dit is een groeipad, waarbij het beveiligingsniveau in voor het management hanteerbare stappen op het gewenste niveau wordt gebracht. Bij het uitvoeren van deze audit is aangesloten bij de PDCA cyclus van de waterschappen en HWH en is de audit aanpak mede hierop afgestemd.
Binnen elke waterschap en HWH heeft het auditteam van VKA in 2017 samen met het waterschap deze audit voorbereid, uitgevoerd en het auditrapport hiervoor opgeleverd. Elke organisatie heeft op basis van een tweetal vragenlijsten de noodzakelijke voorbereidingen uitgevoerd. Op basis hiervan heeft VKA documentstudie uitgevoerd en de auditgesprekken voorbereid. De auditgesprekken hebben plaatsgevonden met diverse vertegenwoordigers van elke organisatie. Op basis van deze documentstudie en auditgesprekken, zijn de auditbevindingen en aanbevelingen geformuleerd, heeft hoor wederhoor plaatsgevonden en is het definitieve auditrapport opgesteld.
Per waterschap (inclusief HWH) heeft VKA een auditrapport opgesteld waarin de bevindingen en conclusies ten opzichte van het management systeem en de beveiligingsmaatregelen zijn vastgelegd.
Wilt u meer weten over deze casus? Neem dan contact op met Joep Janssen.