Eigenschap:Beschrijving

Objecten worden geïdentificeerd met onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de optiek van de kwaliteitscriteria: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC), die vervolgens zijn ingedeeld in het beleids-, uitvoerings- en control-domein. De vragen die hierbij een rol hebben gespeeld zijn: # Welke randvoorwaardelijke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? # Welke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? # Welke elementen spelen een rol bij de beheersing van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? Afbeelding 'Schematische weergave componenten toegangsbeveiliging in drielagenstructuur' geeft de positionering weer van toegangsbeveiligingselementen binnen het uitvoeringsdomein. Deze elementen geven een verband van elementen die binnen de organisatieonderdelen een rol spelen. De elementen kunnen direct of indirect voorkomen als beveiligingsobjecten. [[Afbeelding:Thema Toegangsbeveiliging - Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur.png|thumb|600px|none|alt=” Schematische weergave componenten toegangsbeveiliging in drielagenstructuur”|Schematische weergave componenten logische toegangsbeveiliging in drielagenstructuur]] ==Globale relaties tussen geïdentificeerde beveiligingsobjecten== De [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]] is ingedeeld met de hoofdstukindeling van de [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002]]. Bij het ontwikkelen van een BIO Thema-uitwerking, zoals de toegangsbeveiliging, is het noodzakelijk om na te gaan uit welke onderdelen (objecten) de omgeving van toegangsbeveiliging precies bestaat. Zonder een beeld over de samenhang tussen de objecten is het lastig om de normen in de juiste samenhang uit de BIO te selecteren. Afbeelding 'Schematische weergave van de componenten van logische toegangsbeveiliging in een drielagenstructuur' geeft een voorbeeld van de betrokken onderdelen uit de business en ICT-omgeving waar een organisatie over het algemeen mee te maken hebben. Deze onderdelen kunnen gerelateerd zijn aan de beveiligingsobjecten in een toegangsbeveiligingsomgeving. Toegangsbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen voor een vertrouwd en betrouwbaar gebruik van informatiesystemen. De essentiële onderdelen van toegangsbeveiliging worden in onderstaande figuur weergegeven. De onderdelen zijn hieronder toegelicht met de domeinen (beleid, uitvoering en control) waarin deze voorkomen. ===Beleidsdomein=== Het beleidsdomein bevat algemene conditionele elementen voor de inrichting van de toegangsbeveiliging zoals toegangsbeleid. Het bevat ook andere conditionele en randvoorwaardelijke aspecten die van toepassing zijn op het uitvoeringsdomein en het control-domein. Het bevat over het algemeen de objecten: beleid, cryptografie, organisatiestructuur en architectuur. ===Uitvoeringsdomein=== Het uitvoeringsdomein omvat verschillende organisatieonderdelen die betrokken zijn bij de inrichting van de toegangsbeveiliging. Toegangsbeveiliging is een continu proces die de samenwerking van deze bedrijfsonderdelen nodig heeft. Deze bedrijfsonderdelen zijn gezamenlijk verantwoordelijk voor de juiste inrichting van de beveiligingsobjecten over toegangsbeveiliging. De betrokken organisatieonderdelen zijn onder andere: *Personeelsafdeling, De personeelsafdeling zorgt ervoor dat medewerkers in het personeelsregistratiesysteem worden opgenomen en zorgt, in samenwerking met business, dat vanuit een organisatorische en procedurele invalshoek elementen worden vastgelegd. De van belang zijnde elementen zijn: gegevens/proceseigenaar, gebruiker, rol, profiel en taak. De relatie tussen deze elementen kan gelezen worden als: ** Een gebruiker heeft een rol. ** Met deze rol wordt zijn profiel bepaald. ** Met zijn profiel worden de rechten bepaald waarmee hij zijn taak kan uitvoeren. * ICT afdeling, De ICT-afdeling zorgt voor ICT-voorzieningen en de geautoriseerde toegang tot benodigde applicaties en het authenticatiemiddel. Dit wordt vastgelegd in termen van identificatie, authenticatie en autorisatie. Er zijn verschillende typen gebruikers: eindgebruikers (remote-gebruikers) en beheerders. Deze gebruikers moeten aan specifieke toegangseisen voldoen. De gebruikersgegevens, de rollen en profielen worden vastgelegd in registratiesystemen. In dit geval zijn er drie registratiesystemen vermeld. In de praktijk is dit afhankelijk van het type organisatie. Er zijn ook registraties die worden gebruikt voor analysedoeleinden. *Facilitair Bedrijf, Het Facilitair bedrijf zorgt voor een fysieke toegang tot terreinen, gebouwen en ruimten met een toegangsmiddel. Hierbij ontvangen de medewerkers bijvoorbeeld een toegangspas (is een identificatiemiddel). ===Control-domein=== Het control-domein bevat evaluatie-, meet- en beheersingsaspecten waarmee toegangsbeveiliging wordt beheerst en bijgestuurd. Het vervult hiermee een control-functie die kort en lang cyclisch van aard kunnen zijn. Dit domein bevat beheersprocessen, zoals de Information Technology Infrastructure Library (ITIL)-processen, die noodzakelijk zijn voor de beheersing van de configuraties van IT-componenten en de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen is niet alleen gericht op het bijsturen en/of aanpassen van het eerder geformuleerde beleid maar ook op implementatie van de toegangsbeveiliging. In Afbeelding 'Schematische weergave van de componenten van logische toegangsbeveiliging in een drielagenstructuur' wordt de hiervoor uitgelegde domeinenstructuur geïllustreerd. De domeinindeling is verder uitgewerkt in de pagina [[ISOR:BIO Thema Toegangsbeveiliging Control|Control-domein]]. Gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar de basiselementen voor de toegang zijn dezelfde.  

Deze BIO Thema-uitwerking representeert een referentiekader voor de BIO Thema-uitwerking Toegangsbeveiliging en is geënt op controls uit best practices zoals: [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]], [[NEN-EN-ISO/IEC 27001:2017 (Managementsystemen voor informatiebeveiliging - Eisen)|NEN-EN-ISO/IEC 27001:2017]] (hierna genoemd ISO 27001) en [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|NEN-ISO/IEC 27002: 2017]] (hierna genoemd ISO 27002), [[The Standard of Good Practice for Information Security 2018|the Standard of Good Practice (SoGP) 2018]] en de [[NIST (National Institute of Standards and Technology)|National Institute of Standards and Technology (NIST)]]. ==Opzet BIO Thema-uitwerking== De BIO Thema-uitwerking Toegangsbeveiliging wordt uitgewerkt langs twee onderdelen: structuur en objecten. De structuur van deze thema-uitwerking bestaat uit een indeling op basis van Beleid, Uitvoering en Control (BUC). De objecten vormen de inhoudelijke onderwerpen die in de vorm van controls en onderliggende maatregelen worden behandeld. De objecten en de bijbehorende maatregelen worden gestructureerd door middel van met de (BUC-)lagenstructuur. Deze thema-uitwerking volgt de standaard opzet voor [[Alle normenkaders|BIO Thema-uitwerkingen]]: # Scope en begrenzing van de thema-uitwerking (zie [[BIO Thema Toegangsbeveiliging/Inleiding#Scope en begrenzing van toegangsbeveiliging|Scope en begrenzing van toegangsbeveiliging]]); # Context en globale structuur van de thema-uitwerking (zie [[BIO Thema Toegangsbeveiliging/Inleiding#Context en globale structuur toegangsbeveiliging|Context en globale structuur toegangsbeveiliging]]); # Globale relaties tussen de geïdentificeerde beveiligingsobjecten (zie [[BIO Thema Toegangsbeveiliging/Objecten voor toegangbeveiliging#Globale relaties tussen de geïdentificeerde beveiligingsobjecten|Globale relaties tussen de geïdentificeerde beveiligingsobjecten]]); ==Scope en begrenzing toegangsbeveiliging== De uitwerking van logische toegangsbeveiliging is in deze BIO Thema-uitwerking gericht op identificatie, authenticatie en autorisatie van (interne en externe) medewerkers voor systemen die op een bepaalde locatie staan. De uitwerking van fysieke beveiliging is deze thema-uitwerking gericht op de fysieke toegang tot terreinen, gebouwen en ruimten (bijvoorbeeld rekencentra). Specifieke apparaat gebonden mechanismen voor toegangsbeveiliging, zoals toegang tot besturingssystemen, netwerken, mobiele computers en telewerken zullen in andere thema-uitwerkingen worden behandeld. De begrenzing van deze BIO Thema-uitwerking is in afbeelding 'Relatie BIO Thema-uitwerking Toegangsbeveiliging met aanpalende documenten' weergegeven. [[Bestand:TBV Relatie BIO Thema-uitwerking met aanpalende documenten.png|thumb|500px|none|alt=”Relatie BIO Thema-uitwerking met aanpalende documenten”|Relatie BIO Thema-uitwerking Toegangsbeveiliging met aanpalende documenten]] ==Context en globale structuur toegangsbeveiliging== Organisaties maken gebruik van informatiesystemen om hun bedrijfsprocessen te ondersteunen en medewerkers zijn gehuisvest in gebouwen en ruimten. De informatiesystemen maken gebruik van cruciale data van de organisatie zelf en van haar klanten. Het is van belang dat deze informatiesystemen worden beveiligd en beheerst, anders loopt de organisatie het risico dat deze data misbruikt wordt, wat kan leiden tot bijvoorbeeld boetes, imagoschade, klantenverlies e.d. In dit kader speelt toegangsbeveiliging een cruciale rol. Toegangsbeveiliging omvat logische en fysieke toegangsbeveiliging, zoals in de afbeelding 'Globale opzet logische en fysieke beveiliging' hieronder wordt weergegeven. [[Bestand:TBV Globale opzet logische en fysieke toegangsbeveiliging.png|thumb|500px|none|alt=”Globale opzet logische en fysieke toegangsbeveiliging”|Globale opzet logische en fysieke toegangsbeveiliging]] Logische toegangsbeveiliging omvat het geheel van richtlijnen, procedures en beheersingsprocessen en faciliteiten die noodzakelijk zijn voor het verschaffen van toegang tot informatiesystemen, besturingssystemen, netwerken, mobiele apparaten en telewerken van een organisatie. Fysieke toegangsbeveiliging omvat het geheel van richtlijnen, procedures en beheersingsprocessen en systemen die noodzakelijk zijn voor het verschaffen van fysieke toegang tot terreinen, gebouwen en ruimten.  

'''De toegangsbeveiligingsobjecten in de drie domeinen Beleid, Uitvoering en Control in een oogopslag''' <br> [[Bestand:TBV Overzicht objecten voor toegangsbeveiliging in het beleidsdomein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het beleidsdomein”|Afbeelding 10: Toegangsbeveiligingsobjecten binnen het beleidsdomein]] [[Bestand:TBV Overzicht objecten voor toegangsbeveiliging in het uitvoeringsdomein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het uitvoeringsdomein”|Afbeelding 11: Toegangsbeveiligingsobjecten binnen het uitvoeringsdomein]] [[Bestand:TBV Overzicht objecten voor toegangsbeveiliging in het control-domein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het control-domein”|Afbeelding 12: Toegangsbeveiligingsobjecten binnen het control-domein]]  +

Voor zowel interne als externe medewerkers hanteer voor de inrichting en evaluatie van voorzieningen voor toegangsbeveiliging de volgende fasering (zie afbeelding 'Relaties richtlijnen tussen in-, door- en uitstroom): * Indiensttreding (instroom), In deze fase gelden algemene en specifieke richtlijnen voor de taken en verantwoordelijkheden van de werkgever en de werknemer. De werkgever zal in de fase, na een zorgvuldige selectieprocedure, de noodzakelijke zaken voor de werknemer moeten regelen. * Tijdens dienstverband (doorstroom), In deze fase worden werknemers, afhankelijk van hun functie, via trainingen en opleidingen bewust gemaakt van het omgaan met bedrijfsmiddelen (onder andere bedrijfsgegevens) en hoe zij moeten omgaan met aspecten van informatiebeveiliging. * Uitdiensttreding (uitstroom), In deze fase treft de werkgever de noodzakelijke maatregelen voor het beëindigen van het dienstverband. De werknemer zal de aan hem verstrekte bedrijfsmiddelen volgens afgesproken procedure moeten inleveren. [[Afbeelding:Thema Toegangsbeveiliging - De relaties tussen de drie fases.png|thumb|550px|none|alt=” Relaties tussen de drie fases”|Relaties richtlijnen tussen in-, door- en uitstroom]] ==Indiensttreding nieuwe medewerkers== Met het verstrekken van de aanstellingsbeschikking komt een medewerker, aangenomen door een manager, in dienst. Bij indiensttreding ontvangt de medewerker een toegangspas waarmee hij toegang krijgt tot het terrein, gebouw en de bij de functie horende ruimtes (fysieke toegangsbeveiliging). Naast de fysieke ruimtes krijgt de medewerker ook toegang tot logische ruimtes, ofwel: de persoonlijk en gemeenschappelijke gegevensverzamelingen en tot de algemene kantoorautomatiseringsomgeving, zoals de KA- of de Front-Office omgeving en specifieke applicaties. Voor de werkzaamheden binnen de specifieke applicaties kan hij weer algemene en specifieke rechten krijgen. Achter de schermen worden heel wat stappen gezet om deze nieuwe medewerker daadwerkelijk in te voeren als een actieve functionaris. Hierbij zijn verschillende afdelingen betrokken zoals: * De Personeelsafdeling (of Human Resource Management) zorgt daarbij voor invoering van de nieuwe medewerker in het personeelsbestand. * De Facilitaire dienst of Facilitair bedrijf zorgt voor een fysieke werkplek (bureau, stoel etc.) en maakt een toegangspas aan (= identificatiemiddel). * De Gegevens-/Proceseigenaar zorgt voor mandaatregister waaruit blijkt welke personen bevoegd zijn voor uitvoering van welke taken (autorisaties). * De ICT-afdeling zorgt voor ICT-voorzieningen misschien en de geautoriseerde toegang tot benodigde applicaties evenals het authenticatiemiddel (zoals een toegangspas). Deze stappen staan niet los van elkaar. Zij dienen namelijk één gemeenschappelijk doel: het bieden van geautoriseerde toegang en daarvoor zijn meerdere gegevens van de medewerker en meerdere acties vanuit de organisatie nodig om de benodigde zaken te regelen om de medewerker in de positie te stellen voor het uitvoeren van zijn taken. Omgekeerd zal de medewerker kennis moeten nemen van de missie/visie van de organisatie en van haar informatiebeveiligingsbeleid. Afbeelding 'Processtappen en acties bij de indiensttreding van een medewerker' geeft een beeld van de processtappen bij de indiensttreding (instroom) van een medewerker. [[Afbeelding:Thema Toegangbeveiliging - Processtappen en acties bij de indiensttreding (instroom) van een medewerker.png|thumb|750px|none|alt=”Processtappen en acties bij de indiensttreding (instroom) van een medewerker”|Processtappen en acties bij indiensttreding van een medewerker]] Nadat de processtappen en acties bij de indiensttreding van de medewerker zijn doorlopen, is de medewerker geïdentificeerd. De medewerker (gebruiker) bezit dan de nodige middelen, een fysiek toegangsbewijs voor toegang tot terreinen, gebouwen en ruimtes van de organisatie in de vorm van een toegangspas en een logisch toegangsbewijs in de vorm van een account voor toegang tot Informatievoorzieningen (IV) faciliteiten. Na het met de inloggegevens (identificatie/accountnaam en authenticatie) inloggen, krijgt de gebruiker toegang tot applicaties. Aan het account, het identificatiebewijs van de gebruiker, zijn toegangsrechten (autorisaties) gekoppeld. Autorisatie (profiel) komt tot stand met de rol van de gebruiker en geeft hem het recht bepaalde taken in de applicatie uit te voeren. Bij doorstroom is er sprake van wijzigingen van de toegangsgegevens (identificatie, authenticatie en autorisatie). Bij uitstroom is er sprake van blokkering van deze gegevens. De persoonlijke gegevens van de gebruiker zijn opgeslagen in het personeelssysteem, de rol en het profiel zijn opgeslagen in het autorisatiesysteem. De profielen en de taken zijn op hun beurt weer opgeslagen in het informatiesysteem. Afbeelding 'Schematische weergave autorisatieproces in de domeinen' geeft hiervan een overzicht. [[Afbeelding:Thema Toegangbeveiliging - Het autorisatieproces.png|thumb|750px|none|alt=” Het autorisatieproces”|Schematische weergave autorisatieproces in de domeinen]] ==Tijdens het dienstverband== Tijdens het dienstverband heeft de medewerker (gebruiker) toegang tot de informatiesystemen door de bij de indiensttreding verkregen middelen en toegangsrechten. Daarvoor moeten fysieke toegangssystemen, authenticatiesystemen en autorisatiesystemen worden ingericht. Tijdens het dienstverband kunnen werkzaamheden van medewerkers worden gewijzigd en of op een andere functie/project worden geplaatst. Er kan ook sprake zijn van een (tijdelijke) overplaatsing. Dan zullen de nodige wijzigingen in functieprofielen (autorisatie) en taakrollen in het registratiesysteem worden doorgevoerd. De oorspronkelijke functie dient dan te worden gedeactiveerd en de toegangsrechten worden aangepast, geblokkeerd of verwijderd. ==Uitdiensttreding== Uiteindelijk kan een medewerker door bepaalde redenen uit dienst treden. Dit houdt in dat bepaalde gegevens van de medewerkers dienen te worden geregistreerd en autorisaties voor het gebruik van applicaties moeten worden verwijderd. <br><br> : → [[ISOR:Autorisatieproces|Ga terug naar U.04 Autorisatieproces]]  

De BIO Thema-uitwerking Applicatieontwikkeling, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen ([[CIP (Centrum Informatiebeveiliging en Privacybescherming)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]]). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’. ==Considerans== CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact]. ==Leeswijzer== Voorafgaand aan het [[ISOR:BIO Thema Applicatieontwikkeling Beleid|Beleidsdomein]], [[ISOR:BIO Thema Applicatieontwikkeling Uitvoering|Uitvoeringsdomein]] en [[ISOR:BIO Thema Applicatieontwikkeling Control|Control-domein]], de kern van dit thema, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Applicatieontwikkeling/Inleiding|inleiding]] met een standaard paragraafindeling. De volgende leeswijzer geldt voor dit normenkader: *Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht. *De controls, hierna genoemd criteria, en maatregelen, hierna genoemd normen, vermeld in dit normenkader zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is. *Van best practices (open standaarden al dan niet toegankelijk met een licentie), zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is. *Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.  

De BIO Thema-uitwerking Clouddiensten, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen ([[CIP (Centrum Informatiebeveiliging en Privacybescherming)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]]). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’. ==Considerans== CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact]. ==Leeswijzer== Voorafgaand aan het [[ISOR:BIO Thema Clouddiensten Beleid|beleidsdomein]], [[ISOR:BIO Thema Clouddiensten Uitvoering|uitvoeringsdomein]] en [[ISOR:BIO Thema Clouddiensten Control|control-domein]], de kern van dit document, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Clouddiensten/Inleiding|inleiding]] met een standaard paragraafindeling. Aanvullend geldt: * Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht. * De controls en maatregelen vermeld in deze thema-uitwerking zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is. * Van best practices (open standaarden al dan niet toegankelijk met een licentie) zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is. * Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.  

De BIO Thema-uitwerking Communicatievoorzieningen, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen [[Centrum Informatiebeveiliging en Privacybescherming (CIP)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]]. De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 van dit normenkader gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’. ==Considerans== CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact]. ==Leeswijzer== Voorafgaand aan het [[ISOR:BIO Thema Communicatievoorzieningen Beleid|beleidsdomein]], [[ISOR:BIO Thema Communicatievoorzieningen Uitvoering|uitvoeringsdomein]] en [[ISOR:BIO Thema Communicatievoorzieningen Control|control-domein]], de kern van dit thema, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Communicatievoorzieningen/Inleiding|inleiding]] met een standaard paragraafindeling. De volgende leeswijzer geldt voor dit normenkader: *Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht. *De controls, hierna genoemd criteria, en maatregelen, hierna genoemd normen, vermeld in dit normenkader zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is. *Van best practices (open standaarden al dan niet toegankelijk met een licentie), zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is. *Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.  

De BIO Thema-uitwerking Huisvesting informatievoorzieningen, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen [[Centrum Informatiebeveiliging en Privacybescherming (CIP)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]]. De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 van dit normenkader gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’. ==Considerans== CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact]. ==Leeswijzer== Voorafgaand aan het [[ISOR:BIO Thema Huisvesting Informatievoorziening Beleid|beleidsdomein]], [[ISOR:BIO Thema Huisvesting Informatievoorziening Uitvoering|uitvoeringsdomein]] en [[ISOR:BIO Thema Huisvesting Informatievoorziening Control|control-domein]], de kern van dit thema, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Huisvesting Informatievoorziening/Inleiding|inleiding]] met een standaard paragraafindeling. De volgende leeswijzer geldt voor dit normenkader: *Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht. *De controls, hierna genoemd criteria, en maatregelen, hierna genoemd normen, vermeld in dit normenkader zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is. *Van best practices (open standaarden al dan niet toegankelijk met een licentie), zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is. *Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.  

De BIO Thema-uitwerking Serverplatform, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen ([[CIP (Centrum Informatiebeveiliging en Privacybescherming)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]]). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’. ==Considerans== CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact]. ==Leeswijzer== Voorafgaand aan het [[ISOR:BIO Thema Serverplatform Beleid|beleidsdomein]], [[ISOR:BIO Thema Serverplatform Uitvoering|uitvoeringsdomein]] en [[ISOR:BIO Thema Serverplatform Control|control-domein]], de kern van dit thema, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Serverplatform/Inleiding|inleiding]] met een standaard hoofdstukindeling. De volgende leeswijzer geldt voor dit normenkader: *Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht. *De controls en maatregelen vermeld in deze thema-uitwerking zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is. *Van best practices (open standaarden al dan niet toegankelijk met een licentie) zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is. *Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.  

De BIO Thema-uitwerking Softwarepakketten, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen ([[CIP (Centrum Informatiebeveiliging en Privacybescherming)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]]). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 1.0 en 1.2 van dit normenkader gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’. ==Considerans== CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact]. ==Leeswijzer== Voorafgaand aan het [[Softwarepakketten Beleid|beleidsdomein]], [[Softwarepakketten Uitvoering|uitvoeringsdomein]] en [[Softwarepakketten Control|control-domein]], de kern van dit thema, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Softwarepakketten - Inleiding|inleiding]] met een standaard paragraafindeling. De volgende leeswijzer geldt voor dit normenkader: *Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht. *De controls, hierna genoemd criteria, en maatregelen, hierna genoemd normen, vermeld in dit normenkader zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is. *Van best practices (open standaarden al dan niet toegankelijk met een licentie), zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is. *Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.  

De BIO Thema-uitwerking Toegangsbeveiliging, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen ([[Centrum Informatiebeveiliging en Privacybescherming (CIP)|Centrum Informatiebeveiliging en Privacybescherming(CIP)]]). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 van dit normenkader gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’. ==Considerans== CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact]. ==Leeswijzer== Voorafgaand aan het [[ISOR:BIO Thema Toegangsbeveiliging Beleid|beleidsdomein]], [[ISOR:BIO Thema Toegangsbeveiliging Uitvoering|uitvoeringsdomein]] en [[ISOR:BIO Thema Toegangsbeveiliging Control|control-domein]], de kern van dit thema, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Toegangsbeveiliging/Inleiding|inleiding]] met een standaard paragraafindeling. De volgende leeswijzer geldt voor dit normenkader: *Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht. *De controls en maatregelen vermeld in deze thema-uitwerking zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is. *Van best practices (open standaarden al dan niet toegankelijk met een licentie) zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is.  +

De BIR is een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen). De BIR 2017 is volledig gebaseerd op de internationale norm [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO/IEC 27002]]. Het concretiseert een aantal eisen tot verplichte operationele afspraken (rijksmaatregelen), om een eenduidig minimumniveau van beveiliging voor gegevens te garanderen. De standaard basisbeveiligingsniveaus (BBN's) met bijbehorende beveiligingseisen maken risicomanagement eenvoudiger.  +

Een indeling die binnen de informatiebeveiliging wordt gehanteerd, waarbij de Beschikbaarheid (continuïteit), de Integriteit (betrouwbaarheid) en de Vertrouwelijkheid (exclusiviteit) van informatie en systemen wordt aangegeven.  +

BLAU zal bestaan uit een kernset van de gegevens uit de huidige Polisadministratie van het UWV. De polisadministratie is reeds operationeel en gevuld. Zij het niet met de wettelijke status van een basisregistratie (de planning van de Polisadministratie is daarom niet opgenomen in de releasekalender). Gegevens uit de Polisadministratie kunnen echter wel geleverd worden aan overheidsorganisaties (voor zover wetgeving dat toestaat). Wat betreft planning (primo 2018) bevindt BLAU zich nog in een pril stadium. Er is nog geen besluit genomen of de basisregistratie BLAU onwikkeld wordt.  +

BLOG Expertgroep Dienstverlening: het spanningsveld en wat doen we fout?  +

Een standaard model voor het beheer en ontwikkelen van open standaarden. Dit model is ook toe te passen voor (referentie)architecturen, afsprakenstelsels en voorzieningen.  +

Authentieke bron voor inkomensgegevens van personen die met Nederland te maken hebben.  +

Authentieke bron voor percelen, eigendom, hypotheken, beperkte rechten (zoals recht van erfpacht, opstal en vruchtgebruik) en leidingnetwerken, alsmede kadastrale kaarten met perceel, perceelnummer, oppervlakte, kadastrale grens en de grenzen van het Rijk, de provincies en gemeenten in Nederland.  +

Deze te downloaden koppeltabel biedt de relatie tussen BAG-verblijfsobjecten en het bijbehorende kadastrale perceel. [http://www.kadaster.nl/web/Themas/Registraties/BAG/BAGartikelen/BRKBAG-koppeling.htm BRK-BAG koppeltabel op website Kadaster]  +

Bestandslevering van de BRK. Integreert administratieve en geografische gegevens. Leverbaar als eenmalige standlevering, dagelijkse mutatielevering. Filtering mogelijk op gemeente, gebied en subject. Downloadservice. * [http://www.kadaster.nl/web/artikel/BRK-Levering-2/BRK-Levering-1.htm BRK Levering op website Kadaster] Verwerkingstermijn: maximaal 15 werkdagen.  +