Implementatie VIR/BIR

We willen op het gebied van informatiebeveiliging invulling geven aan het gedachtegoed dat is vastgelegd in het Voorschrift Informatiebeveiliging Rijksdienst (VIR) en het normenkader van de BIR (Baseline Informatiebeveiliging Rijksdienst). We hebben eerst geïnventariseerd aan welke normen van de BIR UWV nu nog niet voldoet. Daarna is bepaald wat voor UWV de belangrijkste risico’s zijn op het terrein van informatiebeveiliging en privacy (IB&P):

  • veilige digitale dienstverlening aan de klant, met name via de internetportalen van UWV;

  • veilige gegevensuitwisseling en -deling met andere partijen, zoals gemeenten;

  • adequate interne organisatie (toegang tot systemen, gedrag van medewerkers);

  • implementatie van risicogestuurd beleid per proces/systeem (zoals de uitvoering van risicoanalyses, de omgang met testdata, het stellen van niet-functionele vereisten, de logging en monitoring, de omgang met herstelsoftware en nieuwere versies, en de opslag en het gebruik van informatie in gedeelde domeinen).

Voor de punten waarop we nog niet voldoen aan de normen en voor zover die binnen de 4 genoemde risico’s liggen, is eind 2015 in verbeterplannen per divisie/directie vastgelegd welke maatregelen in 2016 getroffen zullen worden om de IB&P-risico’s te beperken. We monitoren de uitvoering van deze maatregelen in de reguliere planning- en controlcyclus van UWV.