Lijst van vragen en antwoorden : Lijst van vragen en antwoorden, gesteld aan de regering, over het rapport Resultaten verantwoordingsonderzoek 2021 bij het Ministerie van Algemene Zaken, het Kabinet van de Koning en de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten (Kamerstuk 36100-III-2)

Nr. 7
LIJST VAN VRAGEN EN ANTWOORDEN

Vastgesteld 8 juni 2022

De vaste commissie voor Binnenlandse Zaken heeft een aantal vragen voorgelegd aan
de Minister-President, Minister van Algemene Zaken over het rapport van de Algemene
Rekenkamer inzake Resultaten verantwoordingsonderzoek 2021 bij het Ministerie van
Algemene Zaken, het Kabinet van de Koning en de Commissie van Toezicht betreffende
de Inlichtingen- en Veiligheidsdiensten (Kamerstuk 36 100 III, nr. 2).

De Minister heeft deze vragen beantwoord bij brief van 7 juni 2022. Vragen en antwoorden
zijn hierna afgedrukt.

De voorzitter van de commissie, Hagen

Adjunct-griffier van de commissie, Honsbeek

Vraag 1

Kan een concreet tijdpad gegeven worden van de verbeteringen die het Ministerie van
plan is door te voeren naar aanleiding van de aanbevelingen van de Algemene Rekenkamer?

Antwoord op vraag 1

De Algemene Rekenkamer vraag aandacht voor verdere verbeteringen op het gebied van
general IT-controls, lifecyclemanagement, inzicht en beheer van ICT middelen en informatiebeveiliging.
Bij de general IT-controls gaat het vooral aantal beheeraccounts met vergaande bevoegdheden.
Bij onderstaande vraag wordt hier op ingegaan. Dit wordt in 2022 afgerond. Op dit
moment ligt het zwaartepunt van de ICT-inspanningen op het realiseren van AZ Next.
Hiermee zal AZ beschikken over state of the art infrastructuur, werkplek en Document Management Systeem. De afgelopen tijd is door
de introductie van nieuwe werkwijzen en beheersystemen een start gemaakt met een meer
gestructureerd Life Cycle Management. In 2023 zal dit naar een hoger volwassenheidsniveau
worden gebracht, in lijn met de rijksbrede ICT-agenda. In de eerste helft van 2022
is al een aantal nieuwe procedures ingevoerd om het inzicht en beheer van de ICT middelen
te verbeteren. Eind dit jaar moet dit volledig op orde zijn. De Algemene Rekenkamer
constateert dat de informatiebeveiliging grotendeels op orde is. Het is echter een
belangrijk aspect dat blijvend aandacht behoeft. Ook moet een aantal al langer geplande
activiteiten nog worden opgepakt of afgerond. Inmiddels is het CISO-office kwantitatief
op peil gebracht, met tijdelijke aanvullende capaciteit worden de achterstanden weggewerkt.
Echter, gezien het grote beslag dat AZ Next en de tijdelijke huisvesting/renovatie
Binnenhof op de capaciteit legt zal het nog tot in 2023 duren tot alle voorziene acties
zijn afgerond.

Vraag 2

Kunt u uiteenzetten waarom er vanwege het programma AZ Next geen oplossing is voor
het te hoge aantal beheeraccounts met vergaande bevoegdheden bij belangrijke onderdelen
van de IT-infrastructuur binnen het Ministerie van Algemene Zaken?

Antwoord op vraag 2

In het kader van AZ Next zijn nieuwe (tijdelijke) medewerkers aangetrokken. Tot voor
kort ontbrak een zogenaamde autorisatiematrix, waardoor sommige medewerkers over meer
bevoegdheden beschikten dan strikt genomen nodig was voor de uitvoering van hun werkzaamheden.
Door actieve monitoring zijn potentiële risico’s die hier uit voortvloeien gemitigeerd.
Inmiddels is door een opschoning van de Active Directory het aantal beheeraccounts
met vergaande bevoegdheden al voor een belangrijk deel teruggebracht. De introductie
van de autorisatiematrix zorgt er voor dat de bevoegdheden voortaan direct goed ingeregeld
zijn.

Vraag 3

Kunt u aangeven hoe u het risico op foutieve handelingen of bewust misbruik van bevoegdheden
binnen het Ministerie van Algemene Zaken tegengaat als u het hoge aantal beheeraccounts
met vergaande bevoegdheden niet aanpakt?

Antwoord op vraag 3

Zoals hierboven aangegeven is dit inmiddels wel aangepakt en zijn door actieve monitoring
potentiële risico’s gemitigeerd.