Thema-architectuur Privacy en Informatiebeveiliging



Deze pagina vervangt Thema Privacy en Informatiebeveiliging

Aanleiding[bewerken]

Door de toenemende digitalisering van de samenleving en dienstverlening van gemeenten wordt het steeds belangrijker om aandacht te hebben voor privacy en informatiebeveiliging. Decentralisatie van overheidstaken naar gemeenten, de uitwisseling van data met (keten)partners, veranderende technische mogelijkheden en wetgeving zijn voorbeelden van ontwikkelingen die gemeenten noodzaken om bij nieuwe ontwikkelingen beveiliging en privacy 'by design' in te richten. Net zoals veel andere organisaties staan gemeenten voor de uitdaging om cybercriminaliteit en cyberincidenten te voorkomen en waar nodig te kunnen bestrijden en oplossen.

Doel[bewerken]

De thema-architectuur heeft als doel om gemeenten en leverancier te helpen om bij zodanig inrichten van de gemeentelijke informatievoorziening dat privacy en beveiliging geborgd zijn. Dit betekent dat bij veranderingen vanaf de start oog moet zijn voor privacy- en beveiligingsaspecten. Gemeenten zijn bezig om hun informatievoorziening fundamenteel te verbeteren en gaan daarvoor onder andere werken met andere manieren van data ontsluiten. Zaken als authenticatie, autorisatie en logging van verwerking moeten daarbij de benodigde aandacht krijgen om te zorgen dat een en ander veilig en rechtmatig plaatsvindt.

Architectuur[bewerken]

Let op: deze thema-architectuur zal binnenkort op een andere manier worden uitgewerkt en gepresenteerd

Sinds begin 2019 hebben de gemeenten de Baseline Informatiebeveiliging Overheid als opvolger van de Baseline Nederlandse gemeenten (BIG), hierover is meer te vinden op de website van de informatiebeveiligingsdienst voor gemeenten (IBD). De BIO bevat controls (beveiligingsdoelstellingen) en beveiligingsmaatregelen die ook hun weerslag hebben op delen van de GEMMA referentiearchitectuur. Gemeenten baseren hun informatiebeveiligingsbeleid en hun verantwoording aan de gemeenteraad en de toezichthouders vanuit het Rijk (middels ENSIA) op de BIO.

  • Procesarchitectuur: Informatiebeveiliging is niet een éénmalig project of activiteit, informatiebeveiliging moet procesmatig ingebed worden in de organisatie en aansluiten bij de P&C cyclus van die organisatie. Een Information Security Management System(ISMS) als beveiligingsproces inrichten binnen de gemeente heeft wel wat aandachtspunten. Hiervoor is een Handreiking Information Security Management System (ISMS) BIO en AVG gemaakt door de IBD.
  • Bedrijfsfuncties en -objecten: In de BIO staan diverse beveiligingsprocessen benoemd die op orde moeten zijn en die ook ingebed zijn in het hierboven genoemde ISMS. Een overzicht van beveiligingsbeleid onderwerpen en daaraan gerelateerde beveiligingsprocessen staan in het document Handreiking Informatiebeveiligingsbeleid BIO
  • Informatie-architectuur: onderliggend aan de Informatiearchitectuur zijn er de referentiecomponenten, deze referentiecomponenten zijn geclassificeerd op BIV-eisen (beschikbaarheid, integriteit en vertrouwelijkheid). Op basis van deze BIV-eisen worden beveiligingseisen uit de BIO op BBN niveau aan applicaties gekoppeld zodat inzichtelijk wordt welke BIO controls en maatregelen van toepassing zijn. Ook zijn er beveiligingsreferentiecomponenten uitgewerkt zodat deze ook in applicatie architecturen kunnen worden meegenomen. Deze beveiligingsreferentiecomponenten staan hier
  • Technische informatiebeveiligingsarchitectuur: De techniek is over het algemeen gemeente en oplossing specifiek, er zijn echter wel beveiligingsarchitectuurpatronen uitgewerkt die op een aantal plaatsen te vinden zijn, bijvoorbeeld bij de NORA en in een document als afgeleide daarvan de BIR-operationele handreiking op de site van de Enterprise Architectuur Rijksdienst (EAR).


Producten

Met welke wettelijke- en beleidskaders moet je rekening houden? Wat is er vanuit architectuur al geregeld qua principes, bouwstenen en standaarden, waardoor je hergebruik en een vliegende start kunt maken?

Meer informatie

Informatiebeveiliging in projecten

Ga aan de slag met privacy en informatiebeveiliging.


Deze pagina is het laatst bewerkt op 25 mrt 2024 om 17:15.