Thema Privacy en Informatiebeveiliging

Sinds begin 2019 hebben de gemeenten de Baseline Informatiebeveiliging Overheid als opvolger van de Baseline Nederlandse gemeenten (BIG), hierover is meer te vinden op de website van de informatiebeveiligingsdienst voor gemeenten (IBD). Deze BIO bevat controls (beveiligingsdoelstellingen) en beveiligingsmaatregelen die ook hun weerslag hebben op delen van de GEMMA referentiearchitectuur. De GEMMA bedrijfs-, informatie- en technische architectuur bevatten nu nog niet veel informatie over de relatie met de BIO, enkele zaken zijn uitgewerkt, het is de bedoeling dat de komende tijd hier meer zal verschijnen of dit in te vullen.

In de GEMMA wordt uitgegaan van drie soorten architecturen.

  1. Business- of bedrijfsarchitectuur. Deze bestaat uit:
    • Procesarchitectuur
    • Bedrijfsfuncties en -objecten.
  2. Informatiearchitectuur. Hierin wordt de informatiestrategie en de uitwerking naar concrete projecten op basis van business doelen en ontwikkelingen tot stand gebracht. Hieronder onderscheiden we ook nog twee soorten van architectuur
    • Applicatiearchitectuur.
    • Gegevens- en berichtenarchitectuur

In de Gemma bestaan applicaties uit referentiecomponenten, referentiecomponenten hebben tot doel een bedrijfsproces te ondersteunen. Een van de zaken die is uitgewerkt is een classificatie van referentiecomponenten naar BBN-niveau zodat in een oogopslag duidelijk wordt welke BIO-maatregelen van toepassing kunnen zijn. Meer over deze referentiecomponenten classificatie is te vinden op de Gemma pagina over referentiecomponenten, door de klikken op een referentiecomponent is deze zichtbaar. Er zijn ook beveiligings referentiecomponenten toegevoegd welke ook in de software catalogus te vinden zijn. De link verwijst naar een opsomming van pakketten die ondersteunen bij het implementeren van een Information Security Management System (ISMS) ondersteund door een Governance Risk and Compliance (GRC) – achtige oplossing.

Hoe is dit al gerelateerd aan de BIO?[bewerken]

  • Proces architectuur: Informatiebeveiliging is niet een éénmalig project of activiteit, informatiebeveiliging moet procesmatig ingebed worden in de organisatie en aansluiten bij de P&C cyclus van die organisatie. Een ISMS als beveiligingsproces inrichten binnen de gemeente heeft wel wat aandachtspunten, zie hiervoor de website van de IBD.
  • Bedrijfsfuncties en -objecten: In de BIO staan diverse beveiligingsprocessen benoemd die op orde moeten zijn en die ook ingebed zijn in het hierboven genoemde ISMS. Een overzicht van beveiligingsbeleid onderwerpen en daaraan gerelateerde beveiligingsprocessen staan in het document Handreiking Informatiebeveiligingsbeleid BIO
  • Applicatiearchitectuur: onderliggend aan de applicatiearchitectuur zijn er de referentiecomponenten, deze referentiecomponenten zijn de afgelopen jaren worden geclassificeerd op BIV-eisen (beschikbaarheid, integriteit en vertrouwelijkheid). Op basis van deze BIV-eisen worden beveiligingseisen uit de BIO op BBN niveau aan applicaties gekoppeld zodat inzichtelijk wordt welke BIO controls en maatregelen van toepassing zijn. Ook zijn er beveiligingsreferentiecomponenten uitgewerkt zodat deze ook in applicatie architecturen kunnen worden meegenomen.
  • • Technische informatiebeveiligingsarchitectuur: De techniek is over het algemeen gemeente en oplossing specifiek, er zijn echter wel beveiligingsarchitectuurpatronen uitgewerkt die op een aantal plaatsen te vinden zijn, bijvoorbeeld bij de NORA en in een document als afgeleide daarvan de BIR-operationele handreiking op de site van de Enterprise Architectuur Rijksdienst (EAR).

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

De GEMeentelijke ModelArchitectuur met een verzameling samenhangende kaders, richtlijnen, referentiemodellen en standaarden die gemeenten helpt bij het inrichten van hun IT-omgeving en processen.

Sjabloonoplossing voor de architectuur van een bepaald domein.

Een beschrijving van de structuur en interactie van de technologiediensten en technologiecomponenten.

Betekenisvolle gegevens.

De inrichting van organisatie, producten en processen binnen een organisatie.

Onderdeel van de bedrijfsarchitectuur met principes en afspraken voor het inrichten van bedrijfsprocessen.

De fundamentele concepten of eigenschappen van een systeem in zijn omgeving belichaamd in zijn elementen, relaties en in de principes van zijn ontwerp en evolutie.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat. (Synoniem van: Data )

Reeks opeenvolgend uit te voeren activiteiten die bijdraagt aan een specifiek resultaat, zoals de levering van een Product of Dienst.

Een standaard set van beveiligingseisen die is gedefinieerd op basis van generieke schades en dreigingen voor de overheid

Een type applicatiecomponent dat binnen een referentiearchitectuur benoemd is als elementair bouwblok

Reeks opeenvolgend uit te voeren activiteiten die bijdraagt aan een specifiek resultaat, zoals de levering van een Product of Dienst. (Synoniem van: Bedrijfsproces )

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Een computerprogramma om een specifieke taak uit te voeren die geen betrekking heeft op de werking van de computer zelf.

De fundamentele concepten of eigenschappen van een systeem in zijn omgeving belichaamd in zijn elementen, relaties en in de principes van zijn ontwerp en evolutie.

Overgenomen van "https://www.gemmaonline.nl/index.php?title=Thema_Privacy_en_Informatiebeveiliging&oldid=1062447"
Deze pagina is het laatst bewerkt op 23 apr 2024 om 17:10.