This is an HTML version of an attachment to the Freedom of Information request 'Universal Credit Programme - BSIMM & IPA Reports'.

DWP Central Freedom of Information Team 
Caxton House 
6-12 Tothill Street 
John Slater  
DWP Website 
Our Ref: FOI2022/47576 
 Date: 18 July 2022 
Dear John Slater, 
Thank you for your Freedom of Information (FoI) request received on 17 June. You wrote: 
“Background to Request 
On 06 May 2022 the DWP disclosed redacted copies of Universal Credit IT security 
reports and audits. (ICO case reference: IC-85708- R7B0, DWP case reference: 
A number of the disclosed reports related to audit/assessments of the Universal Credit IT 
system against the BSIMM model (Building Security In Maturity Model). 
As the disclosed BSIMM reports made it clear that a significant number of activities were 
“Not Observed” it is reasonable to assume that the UC Team completed the worked 
required to improve IT security and seek further audits/assessments.  
Request for Information 
RFI1: Is there someone within the UC Team who is responsible for IT security and for 
ensuring that the team fully complies with the activities specified in the BSIMM? If so, what 
is their job title (I do not want to know their name). 
RFI2: Between 19 September 2018 and 17 June 2022 has the UC IT team been 
assessed/audited against the BSIMM by external organisations? If so, please disclose the 
dates of the audits/assessments. 
RFI3: - Please disclose the BSIMM assessment/audit reports that were produced by 
external organisations for the period 19 September 2018 to 28 February 2022. 
RFI4: Between 01July 2020 and 17 June 2022 has the IPA produced any further reports 
on the UC Programme? If so, please disclose them.  
(Interpretation note: - if the IPA has produced a report about part of the UC Programme 
rather than at the ‘Programme Level’ then that falls within scope)” 


DWP Response  
We confirm that we do hold some of the information you have requested  
RFI1: Is there someone within the UC Team who is responsible for IT security and for ensuring 
that the team fully complies with the activities specified in the BSIMM? If so, what is their job title 
(I do not want to know their name).  
Overall accountability sits with the Universal Credit Full Service & Working Age Digital 
Director.  Responsibility for secure development sits with the UC Deputy Director for 
Engineering.  Responsibility for supporting overall secure design and monitoring compliance is 
the UC Head of Secure Design.  
RFI2: Between 19 September 2018 and 17 June 2022 has the UC IT team been 
assessed/audited against the BSIMM by external organisations? If so, please disclose the dates 
of the audits/assessments.  
There have been no external BSIMM audits or assessments between 19 September 2018 and 17 
June 2022.   
RFI3: - Please disclose the BSIMM assessment/audit reports that were produced by external 
organisations for the period 19 September 2018 to 28 February 2022.  
We do not hold this information. 
RFI4: Between 01July 2020 and 17 June 2022 has the IPA produced any further reports on the 
UC Programme? If so, please disclose them.  
The IPA has not produced any reports on the Universal Credit Programme between 1 July 2020 
and 17 June 2022. 
If you have any queries about this letter, please contact us quoting the reference number above. 
Yours sincerely, 
DWP Central Freedom of Information Team 
Department for Work and Pensions 
Your right to complain under the Freedom of Information Act 
If you are not happy with this response you may request an internal review by e-mailing freedom- 
or by writing to: DWP Central FoI Team, Caxton House, 6-12 
Tothill Street, London, SW1H 9NA.  
Any review request should be submitted within two months of the date of this letter.  
If you are not content with the outcome of the internal review you may apply directly to the 
Information Commissioner’s Office for a decision. Generally, the Commissioner cannot make a 
decision unless you have exhausted our own complaints procedure. The Information 
Commissioner can be contacted at: The Information Commissioner’s Office, Wycliffe House, 
Water Lane, Wilmslow, Cheshire SK9 5AF. 
Website: ICO FOI and EIR complaints or telephone 0303 123 1113.