Thema-architectuur Privacy en Informatiebeveiliging



Deze pagina vervangt Thema Privacy en Informatiebeveiliging


Aanleiding[bewerken]

Door de toenemende digitalisering van de samenleving en dienstverlening van gemeenten wordt het steeds belangrijker om aandacht te hebben voor privacy en informatiebeveiliging. Decentralisatie van overheidstaken naar gemeenten, de uitwisseling van data met (keten)partners, veranderende technische mogelijkheden en wetgeving zijn voorbeelden van ontwikkelingen die het nodig maken om bij nieuwe ontwikkelingen beveiliging en privacy 'by design' in te richten. Gemeenten moeten cybercriminaliteit en cyberincidenten zoveel mogelijk voorkomen en waar nodig kunnen bestrijden en oplossen.

Doel[bewerken]

Deze thema-architectuur heeft als doel om gemeenten en leverancier te helpen om bij het inrichten van de gemeentelijke informatievoorziening zodat privacy en beveiliging zijn geborgd. Dit betekent dat bij veranderingen vanaf de start oog moet zijn voor privacy- en beveiligingsaspecten. Gemeenten zijn bezig om hun informatievoorziening fundamenteel te verbeteren. Bijvoorbeeld door data op nieuwe manieren te ontsluiten. Zaken als authenticatie, autorisatie en logging van verwerking moeten daarbij voldoende aandacht krijgen om te zorgen dat een en ander veilig en rechtmatig plaatsvindt.

Architectuur[bewerken]

Let op: deze thema-architectuur zal binnenkort op een andere manier worden uitgewerkt en gepresenteerd

Sinds begin 2019 hebben de gemeenten de Baseline Informatiebeveiliging Overheid als opvolger van de Baseline Nederlandse gemeenten (BIG), hierover is meer te vinden op de website van de informatiebeveiligingsdienst voor gemeenten (IBD). De BIO bevat controls (beveiligingsdoelstellingen) en beveiligingsmaatregelen die ook hun weerslag hebben op delen van de GEMMA referentiearchitectuur. Gemeenten baseren hun informatiebeveiligingsbeleid en hun verantwoording aan de gemeenteraad en de toezichthouders vanuit het Rijk (middels ENSIA) op de BIO.

  • Procesarchitectuur: Informatiebeveiliging is niet een éénmalig project of activiteit, informatiebeveiliging moet procesmatig ingebed worden in de organisatie en aansluiten bij de P&C cyclus van die organisatie. Een Information Security Management System(ISMS) als beveiligingsproces inrichten binnen de gemeente heeft wel wat aandachtspunten. Hiervoor is een Handreiking Information Security Management System (ISMS) BIO en AVG gemaakt door de IBD.
  • Bedrijfsfuncties en -objecten: In de BIO staan diverse beveiligingsprocessen benoemd die op orde moeten zijn en die ook ingebed zijn in het hierboven genoemde ISMS. Een overzicht van beveiligingsbeleid onderwerpen en daaraan gerelateerde beveiligingsprocessen staan in het document Handreiking Informatiebeveiligingsbeleid BIO
  • Informatie-architectuur: onderliggend aan de Informatiearchitectuur zijn er de referentiecomponenten, deze referentiecomponenten zijn geclassificeerd op BIV-eisen (beschikbaarheid, integriteit en vertrouwelijkheid). Op basis van deze BIV-eisen worden beveiligingseisen uit de BIO op BBN niveau aan applicaties gekoppeld zodat inzichtelijk wordt welke BIO controls en maatregelen van toepassing zijn. Ook zijn er beveiligingsreferentiecomponenten uitgewerkt zodat deze ook in applicatie architecturen kunnen worden meegenomen. Deze beveiligingsreferentiecomponenten staan hier
  • Technische informatiebeveiligingsarchitectuur: De techniek is over het algemeen gemeente en oplossing specifiek, er zijn echter wel beveiligingsarchitectuurpatronen uitgewerkt die op een aantal plaatsen te vinden zijn, bijvoorbeeld bij de NORA en in een document als afgeleide daarvan de BIR-operationele handreiking op de site van de Enterprise Architectuur Rijksdienst (EAR).


Producten

Met welke wettelijke- en beleidskaders moet je rekening houden? Wat is er vanuit architectuur al geregeld qua principes, bouwstenen en standaarden, waardoor je hergebruik en een vliegende start kunt maken?

Meer informatie

Informatiebeveiliging in projecten

Ga aan de slag met privacy en informatiebeveiliging.


Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Weergave van een feit, begrip of aanwijzing, geschikt voor overdracht, interpretatie of verwerking door een persoon of apparaat.

De fundamentele concepten of eigenschappen van een systeem in zijn omgeving belichaamd in zijn elementen, relaties en in de principes van zijn ontwerp en evolutie.

Het geheel van mensen, middelen en maatregelen, gericht op de informatiebehoefte van de organisatie.

Het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit.

Het proces van het toekennen van rechten voor de toegang tot geautomatiseerde functies en/of gegevens in ICT voorzieningen.

De fundamentele concepten of eigenschappen van een systeem in zijn omgeving belichaamd in zijn elementen, relaties en in de principes van zijn ontwerp en evolutie.

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

De GEMeentelijke ModelArchitectuur met een verzameling samenhangende kaders, richtlijnen, referentiemodellen en standaarden die gemeenten helpt bij het inrichten van hun IT-omgeving en processen.

Sjabloonoplossing voor de architectuur van een bepaald domein.

Een standaard set van beveiligingseisen die is gedefinieerd op basis van generieke schades en dreigingen voor de overheid

Een computerprogramma om een specifieke taak uit te voeren die geen betrekking heeft op de werking van de computer zelf.

Betekenisvolle gegevens.

Overgenomen van "https://www.gemmaonline.nl/index.php?title=Thema-architectuur_Privacy_en_Informatiebeveiliging&oldid=886980"
Deze pagina is het laatst bewerkt op 11 apr 2024 om 02:01.