Beste bezoeker,

op dit moment wordt er een nieuwe release doorgevoerd op GEMMA Online. Hierdoor is de omgeving tijdelijk niet beschikbaar.

Vragen? Stuur een e-mail naar gemmaonline@vng.nl

Met vriendelijke groet, Kenniscentrum Architectuur VNG Realisatie

Thema Privacy en Informatiebeveiliging

Laatst bewerkt: 30 juni 2021, 13:37:55

Sinds begin 2019 hebben de gemeenten de Baseline Informatiebeveiliging Overheid als opvolger van de Baseline Nederlandse gemeenten (BIG), hierover is meer te vinden op de website van de informatiebeveiligingsdienst voor gemeenten (IBD). Deze BIO bevat controls (beveiligingsdoelstellingen) en beveiligingsmaatregelen die ook hun weerslag hebben op delen van de GEMMA referentiearchitectuur. De GEMMA bedrijfs-, informatie- en technische architectuur bevatten nu nog niet veel informatie over de relatie met de BIO, enkele zaken zijn uitgewerkt, het is de bedoeling dat de komende tijd hier meer zal verschijnen of dit in te vullen.

In de GEMMA wordt uitgegaan van drie soorten architecturen.

  1. Business- of bedrijfsarchitectuur. Deze bestaat uit:
    • Procesarchitectuur
    • Bedrijfsfuncties en -objecten.
  2. Informatiearchitectuur. Hierin wordt de informatiestrategie en de uitwerking naar concrete projecten op basis van business doelen en ontwikkelingen tot stand gebracht. Hieronder onderscheiden we ook nog twee soorten van architectuur
    • Applicatiearchitectuur.
    • Gegevens- en berichtenarchitectuur

In de Gemma bestaan applicaties uit referentiecomponenten, referentiecomponenten hebben tot doel een bedrijfsproces te ondersteunen. Een van de zaken die is uitgewerkt is een classificatie van referentiecomponenten naar BBN-niveau zodat in een oogopslag duidelijk wordt welke BIO-maatregelen van toepassing kunnen zijn. Meer over deze referentiecomponenten classificatie is te vinden op de Gemma pagina over referentiecomponenten, door de klikken op een referentiecomponent is deze zichtbaar. Er zijn ook beveiligings referentiecomponenten toegevoegd welke ook in de software catalogus te vinden zijn. De link verwijst naar een opsomming van pakketten die ondersteunen bij het implementeren van een Information Security Management System (ISMS) ondersteund door een Governance Risk and Compliance (GRC) – achtige oplossing.

Hoe is dit al gerelateerd aan de BIO?

  • Proces architectuur: Informatiebeveiliging is niet een éénmalig project of activiteit, informatiebeveiliging moet procesmatig ingebed worden in de organisatie en aansluiten bij de P&C cyclus van die organisatie. Een ISMS als beveiligingsproces inrichten binnen de gemeente heeft wel wat aandachtspunten, zie hiervoor de website van de IBD.
  • Bedrijfsfuncties en -objecten: In de BIO staan diverse beveiligingsprocessen benoemd die op orde moeten zijn en die ook ingebed zijn in het hierboven genoemde ISMS. Een overzicht van beveiligingsbeleid onderwerpen en daaraan gerelateerde beveiligingsprocessen staan in het document Handreiking Informatiebeveiligingsbeleid BIO
  • Applicatiearchitectuur: onderliggend aan de applicatiearchitectuur zijn er de referentiecomponenten, deze referentiecomponenten zijn de afgelopen jaren worden geclassificeerd op BIV-eisen (beschikbaarheid, integriteit en vertrouwelijkheid). Op basis van deze BIV-eisen worden beveiligingseisen uit de BIO op BBN niveau aan applicaties gekoppeld zodat inzichtelijk wordt welke BIO controls en maatregelen van toepassing zijn. Ook zijn er beveiligingsreferentiecomponenten uitgewerkt zodat deze ook in applicatie architecturen kunnen worden meegenomen. Deze beveiligingsreferentiecomponenten staan hier
  • • Technische informatiebeveiligingsarchitectuur: De techniek is over het algemeen gemeente en oplossing specifiek, er zijn echter wel beveiligingsarchitectuurpatronen uitgewerkt die op een aantal plaatsen te vinden zijn, bijvoorbeeld bij de NORA en in een document als afgeleide daarvan de BIR-operationele handreiking op de site van de Enterprise Architectuur Rijksdienst (EAR).