This is an HTML version of an attachment to the Freedom of Information request 'Universal Credit Programme - BSIMM & IPA Reports'.


 
 
DWP Central Freedom of Information Team 
Caxton House 
 
6-12 Tothill Street 
 
London 
 
SW1H 9NA 
John Slater  
 
xxxxxxxxxxxxxxxxxxxxxxx@xxxxxxxxxxxxxx.xxx  
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx@xxx.xxx.xx  
 
 
DWP Website 
 
Our Ref: FOI2022/47576 
 
 Date: 18 July 2022 
 
Dear John Slater, 
 
Thank you for your Freedom of Information (FoI) request received on 17 June. You wrote: 
 
“Background to Request 
 
On 06 May 2022 the DWP disclosed redacted copies of Universal Credit IT security 
reports and audits. (ICO case reference: IC-85708- R7B0, DWP case reference: 
FOI2020/71493). 
 
A number of the disclosed reports related to audit/assessments of the Universal Credit IT 
system against the BSIMM model (Building Security In Maturity Model). 
 
As the disclosed BSIMM reports made it clear that a significant number of activities were 
“Not Observed” it is reasonable to assume that the UC Team completed the worked 
required to improve IT security and seek further audits/assessments.  
 
Request for Information 
 
RFI1: Is there someone within the UC Team who is responsible for IT security and for 
ensuring that the team fully complies with the activities specified in the BSIMM? If so, what 
is their job title (I do not want to know their name). 
 
RFI2: Between 19 September 2018 and 17 June 2022 has the UC IT team been 
assessed/audited against the BSIMM by external organisations? If so, please disclose the 
dates of the audits/assessments. 
 
RFI3: - Please disclose the BSIMM assessment/audit reports that were produced by 
external organisations for the period 19 September 2018 to 28 February 2022. 
 
RFI4: Between 01July 2020 and 17 June 2022 has the IPA produced any further reports 
on the UC Programme? If so, please disclose them.  
 
(Interpretation note: - if the IPA has produced a report about part of the UC Programme 
rather than at the ‘Programme Level’ then that falls within scope)” 
 
 
 
 


 

DWP Response  
 
We confirm that we do hold some of the information you have requested  
 
RFI1: Is there someone within the UC Team who is responsible for IT security and for ensuring 
that the team fully complies with the activities specified in the BSIMM? If so, what is their job title 
(I do not want to know their name).  
 
Overall accountability sits with the Universal Credit Full Service & Working Age Digital 
Director.  Responsibility for secure development sits with the UC Deputy Director for 
Engineering.  Responsibility for supporting overall secure design and monitoring compliance is 
the UC Head of Secure Design.  
 
 
RFI2: Between 19 September 2018 and 17 June 2022 has the UC IT team been 
assessed/audited against the BSIMM by external organisations? If so, please disclose the dates 
of the audits/assessments.  
 
There have been no external BSIMM audits or assessments between 19 September 2018 and 17 
June 2022.   
 
 
RFI3: - Please disclose the BSIMM assessment/audit reports that were produced by external 
organisations for the period 19 September 2018 to 28 February 2022.  
 
We do not hold this information. 
 
 
RFI4: Between 01July 2020 and 17 June 2022 has the IPA produced any further reports on the 
UC Programme? If so, please disclose them.  
 
The IPA has not produced any reports on the Universal Credit Programme between 1 July 2020 
and 17 June 2022. 
 
If you have any queries about this letter, please contact us quoting the reference number above. 
 
 
Yours sincerely, 
DWP Central Freedom of Information Team 
Department for Work and Pensions 
 
---------------------------------------------------------------------------------------------------------------------------- 
 
Your right to complain under the Freedom of Information Act 
 
If you are not happy with this response you may request an internal review by e-mailing freedom-
xxxxxxxxxxxxxxxxxxxxxx@xxx.xxx.xx 
or by writing to: DWP Central FoI Team, Caxton House, 6-12 
Tothill Street, London, SW1H 9NA.  
 
Any review request should be submitted within two months of the date of this letter.  
 
If you are not content with the outcome of the internal review you may apply directly to the 
Information Commissioner’s Office for a decision. Generally, the Commissioner cannot make a 
decision unless you have exhausted our own complaints procedure. The Information 
Commissioner can be contacted at: The Information Commissioner’s Office, Wycliffe House, 
Water Lane, Wilmslow, Cheshire SK9 5AF. 
Website: ICO FOI and EIR complaints or telephone 0303 123 1113.