Eigenschap:Beschrijving
Naar navigatie springen
Naar zoeken springen
Type eigenschap
:
Tekst
Geldige waarden
:
Meerdere waarden toegestaan
:
Nee
Weergave op formulieren
:
Tekstvak
Initiële waarde
:
Verplicht veld
:
Nee
Toelichting op formulier
:
Deze elementeigenschap kan gebruikt worden om een element te voorzien van een beschrijving.
Subeigenschap van
:
Formatteerfunctie externe URI
:
Klik op de button om een nieuwe eigenschap te maken:
B
Objecten worden geïdentificeerd met onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de optiek van de kwaliteitscriteria: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC), die vervolgens zijn ingedeeld in het beleids-, uitvoerings- en control-domein.
De vragen die hierbij een rol hebben gespeeld zijn:
# Welke randvoorwaardelijke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
# Welke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
# Welke elementen spelen een rol bij de beheersing van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid?
Afbeelding 'Schematische weergave componenten toegangsbeveiliging in drielagenstructuur' geeft de positionering weer van toegangsbeveiligingselementen binnen het uitvoeringsdomein. Deze elementen geven een verband van elementen die binnen de organisatieonderdelen een rol spelen. De elementen kunnen direct of indirect voorkomen als beveiligingsobjecten.
[[Afbeelding:Thema Toegangsbeveiliging - Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur.png|thumb|600px|none|alt=” Schematische weergave componenten toegangsbeveiliging in drielagenstructuur”|Schematische weergave componenten logische toegangsbeveiliging in drielagenstructuur]]
==Globale relaties tussen geïdentificeerde beveiligingsobjecten==
De [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]] is ingedeeld met de hoofdstukindeling van de [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002]]. Bij het ontwikkelen van een BIO Thema-uitwerking, zoals de toegangsbeveiliging, is het noodzakelijk om na te gaan uit welke onderdelen (objecten) de omgeving van toegangsbeveiliging precies bestaat. Zonder een beeld over de samenhang tussen de objecten is het lastig om de normen in de juiste samenhang uit de BIO te selecteren.
Afbeelding 'Schematische weergave van de componenten van logische toegangsbeveiliging in een drielagenstructuur' geeft een voorbeeld van de betrokken onderdelen uit de business en ICT-omgeving waar een organisatie over het algemeen mee te maken hebben. Deze onderdelen kunnen gerelateerd zijn aan de beveiligingsobjecten in een toegangsbeveiligingsomgeving.
Toegangsbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen voor een vertrouwd en betrouwbaar gebruik van informatiesystemen. De essentiële onderdelen van toegangsbeveiliging worden in onderstaande figuur weergegeven. De onderdelen zijn hieronder toegelicht met de domeinen (beleid, uitvoering en control) waarin deze voorkomen.
===Beleidsdomein===
Het beleidsdomein bevat algemene conditionele elementen voor de inrichting van de toegangsbeveiliging zoals toegangsbeleid. Het bevat ook andere conditionele en randvoorwaardelijke aspecten die van toepassing zijn op het uitvoeringsdomein en het control-domein. Het bevat over het algemeen de objecten: beleid, cryptografie, organisatiestructuur en architectuur.
===Uitvoeringsdomein===
Het uitvoeringsdomein omvat verschillende organisatieonderdelen die betrokken zijn bij de inrichting van de toegangsbeveiliging. Toegangsbeveiliging is een continu proces die de samenwerking van deze bedrijfsonderdelen nodig heeft. Deze bedrijfsonderdelen zijn gezamenlijk verantwoordelijk voor de juiste inrichting van de beveiligingsobjecten over toegangsbeveiliging. De betrokken organisatieonderdelen zijn onder andere:
*Personeelsafdeling, De personeelsafdeling zorgt ervoor dat medewerkers in het personeelsregistratiesysteem worden opgenomen en zorgt, in samenwerking met business, dat vanuit een organisatorische en procedurele invalshoek elementen worden vastgelegd. De van belang zijnde elementen zijn: gegevens/proceseigenaar, gebruiker, rol, profiel en taak. De relatie tussen deze elementen kan gelezen worden als:
** Een gebruiker heeft een rol.
** Met deze rol wordt zijn profiel bepaald.
** Met zijn profiel worden de rechten bepaald waarmee hij zijn taak kan uitvoeren.
* ICT afdeling, De ICT-afdeling zorgt voor ICT-voorzieningen en de geautoriseerde toegang tot benodigde applicaties en het authenticatiemiddel. Dit wordt vastgelegd in termen van identificatie, authenticatie en autorisatie. Er zijn verschillende typen gebruikers: eindgebruikers (remote-gebruikers) en beheerders. Deze gebruikers moeten aan specifieke toegangseisen voldoen. De gebruikersgegevens, de rollen en profielen worden vastgelegd in registratiesystemen. In dit geval zijn er drie registratiesystemen vermeld. In de praktijk is dit afhankelijk van het type organisatie. Er zijn ook registraties die worden gebruikt voor analysedoeleinden.
*Facilitair Bedrijf, Het Facilitair bedrijf zorgt voor een fysieke toegang tot terreinen, gebouwen en ruimten met een toegangsmiddel. Hierbij ontvangen de medewerkers bijvoorbeeld een toegangspas (is een identificatiemiddel).
===Control-domein===
Het control-domein bevat evaluatie-, meet- en beheersingsaspecten waarmee toegangsbeveiliging wordt beheerst en bijgestuurd. Het vervult hiermee een control-functie die kort en lang cyclisch van aard kunnen zijn. Dit domein bevat beheersprocessen, zoals de Information Technology Infrastructure Library (ITIL)-processen, die noodzakelijk zijn voor de beheersing van de configuraties van IT-componenten en de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen is niet alleen gericht op het bijsturen en/of aanpassen van het eerder geformuleerde beleid maar ook op implementatie van de toegangsbeveiliging. In Afbeelding 'Schematische weergave van de componenten van logische toegangsbeveiliging in een drielagenstructuur' wordt de hiervoor uitgelegde domeinenstructuur geïllustreerd.
De domeinindeling is verder uitgewerkt in de pagina [[ISOR:BIO Thema Toegangsbeveiliging Control|Control-domein]]. Gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar de basiselementen voor de toegang zijn dezelfde.
BIO Thema-uitwerking Toegangsbeveiliging geeft overheidsorganisaties een beeld van de meest relevante onderwerpen die een rol spelen bij het inrichten en beveiligen van toegangsvoorzieningen. Dit document is geënt op controls uit best practices zoals: [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]], [[NEN-EN-ISO/IEC 27001:2017 (Managementsystemen voor informatiebeveiliging - Eisen)|NEN-EN-ISO/IEC 27001:2017]] (hierna genoemd ISO 27001) en [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|NEN-ISO/IEC 27002: 2017]] (hierna genoemd ISO 27002), [[The Standard of Good Practice for Information Security 2018|the Standard of Good Practice (SoGP) 2018]] en de [[NIST (National Institute of Standards and Technology)|National Institute of Standards and Technology (NIST)]].
==Opzet BIO Thema-uitwerking==
In deze BIO Thema-uitwerking zijn de objecten geïdentificeerd die een rol spelen bij toegangsbeveiliging. De objecten zijn ingedeeld in de domeinen Beleid, Uitvoering en Control (BUC), en daarbinnen naar een viertal invalshoeken. Deze objecten vormen de verschillende inhoudelijke onderwerpen van toegangsbeveiliging. Ze zijn in het document verder uitgewerkt naar controls en onderliggende maatregelen.
Deze thema-uitwerking volgt de standaard opzet voor [[Alle normenkaders|BIO Thema-uitwerkingen]]:
# Scope en begrenzing van de thema-uitwerking (zie [[BIO Thema Toegangsbeveiliging/Inleiding#Scope en begrenzing van toegangsbeveiliging|Scope en begrenzing van toegangsbeveiliging]]);
# Context en globale structuur van de thema-uitwerking (zie [[BIO Thema Toegangsbeveiliging/Inleiding#Context en globale structuur toegangsbeveiliging|Context en globale structuur toegangsbeveiliging]]);
# Globale relaties tussen de geïdentificeerde beveiligingsobjecten (zie [[BIO Thema Toegangsbeveiliging/Objecten voor toegangbeveiliging#Globale relaties tussen de geïdentificeerde beveiligingsobjecten|Globale relaties tussen de geïdentificeerde beveiligingsobjecten]]);
==Scope en begrenzing toegangsbeveiliging==
De uitwerking van logische toegangsbeveiliging is in deze BIO Thema-uitwerking gericht op identificatie, authenticatie en autorisatie van (interne en externe) medewerkers.
De uitwerking van fysieke beveiliging is in deze thema-uitwerking gericht op de fysieke toegang tot terreinen, gebouwen en ruimten (bijvoorbeeld rekencentra).
Specifieke apparaat-gebonden mechanismen voor toegangsbeveiliging, zoals toegang tot besturingssystemen, netwerken, mobiele computers en telewerken vallen buiten de scope van deze thema-uitwerking.
De begrenzing van deze BIO Thema-uitwerking is in afbeelding 'Relatie BIO Thema-uitwerking Toegangsbeveiliging met aanpalende documenten' weergegeven.
[[Bestand:TBV Relatie BIO Thema-uitwerking met aanpalende documenten.png|thumb|500px|none|alt=”Relatie BIO Thema-uitwerking met aanpalende documenten”|Relatie BIO Thema-uitwerking Toegangsbeveiliging met aanpalende documenten]]
==Context en globale structuur toegangsbeveiliging==
Informatiesystemen maken gebruik van cruciale data van de organisatie zelf en van derden. Deze informatiesystemen moeten worden beveiligd en beheerst om het risico van inbreuk, misbruik en (data)diefstal te mitigeren. Toegangsbeveiliging speelt hierbij een cruciale rol. Toegangsbeveiliging richt zich op informatiesystemen (logische toegangsbeveiliging) en op gebouwen en ruimten waarin medewerkers gehuisvest zijn (fysieke toegangsbeveiliging).
Logische toegangsbeveiliging omvat het geheel van richtlijnen, procedures, beheersingsprocessen en faciliteiten die noodzakelijk zijn voor het verschaffen van toegang tot informatiesystemen, besturingssystemen, netwerken, mobiele apparaten en telewerken van een organisatie. Fysieke toegangsbeveiliging omvat het geheel van richtlijnen, procedures, beheersingsprocessen en systemen die noodzakelijk zijn voor het verschaffen van fysieke toegang tot terreinen, gebouwen en ruimten.
[[Bestand:TBV Globale opzet logische en fysieke toegangsbeveiliging.png|thumb|500px|none|alt=”Globale opzet logische en fysieke toegangsbeveiliging”|Globale opzet logische en fysieke toegangsbeveiliging]]
'''De toegangsbeveiligingsobjecten in de drie domeinen Beleid, Uitvoering en Control in een oogopslag'''
<br>
[[Bestand:TBV Overzicht objecten voor toegangsbeveiliging in het beleidsdomein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het beleidsdomein”|Afbeelding 10: Toegangsbeveiligingsobjecten binnen het beleidsdomein]]
[[Bestand:TBV Overzicht objecten voor toegangsbeveiliging in het uitvoeringsdomein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het uitvoeringsdomein”|Afbeelding 11: Toegangsbeveiligingsobjecten binnen het uitvoeringsdomein]]
[[Bestand:TBV Overzicht objecten voor toegangsbeveiliging in het control-domein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het control-domein”|Afbeelding 12: Toegangsbeveiligingsobjecten binnen het control-domein]] +
Voor zowel interne als externe medewerkers hanteer voor de inrichting en evaluatie van voorzieningen voor toegangsbeveiliging de volgende fasering (zie afbeelding 'Relaties richtlijnen tussen in-, door- en uitstroom):
* Indiensttreding (instroom), In deze fase gelden algemene en specifieke richtlijnen voor de taken en verantwoordelijkheden van de werkgever en de werknemer. De werkgever zal in de fase, na een zorgvuldige selectieprocedure, de noodzakelijke zaken voor de werknemer moeten regelen.
* Tijdens dienstverband (doorstroom), In deze fase worden werknemers, afhankelijk van hun functie, via trainingen en opleidingen bewust gemaakt van het omgaan met bedrijfsmiddelen (onder andere bedrijfsgegevens) en hoe zij moeten omgaan met aspecten van informatiebeveiliging.
* Uitdiensttreding (uitstroom), In deze fase treft de werkgever de noodzakelijke maatregelen voor het beëindigen van het dienstverband. De werknemer zal de aan hem verstrekte bedrijfsmiddelen volgens afgesproken procedure moeten inleveren.
[[Afbeelding:Thema Toegangsbeveiliging - De relaties tussen de drie fases.png|thumb|550px|none|alt=” Relaties tussen de drie fases”|Relaties richtlijnen tussen in-, door- en uitstroom]]
==Indiensttreding nieuwe medewerkers==
Met het verstrekken van de aanstellingsbeschikking komt een medewerker, aangenomen door een manager, in dienst. Bij indiensttreding ontvangt de medewerker een toegangspas waarmee hij toegang krijgt tot het terrein, gebouw en de bij de functie horende ruimtes (fysieke toegangsbeveiliging). Naast de fysieke ruimtes krijgt de medewerker ook toegang tot logische ruimtes, ofwel: de persoonlijk en gemeenschappelijke gegevensverzamelingen en tot de algemene kantoorautomatiseringsomgeving, zoals de KA- of de Front-Office omgeving en specifieke applicaties. Voor de werkzaamheden binnen de specifieke applicaties kan hij weer algemene en specifieke rechten krijgen.
Achter de schermen worden heel wat stappen gezet om deze nieuwe medewerker daadwerkelijk in te voeren als een actieve functionaris. Hierbij zijn verschillende afdelingen betrokken zoals:
* De Personeelsafdeling (of Human Resource Management) zorgt daarbij voor invoering van de nieuwe medewerker in het personeelsbestand.
* De Facilitaire dienst of Facilitair bedrijf zorgt voor een fysieke werkplek (bureau, stoel etc.) en maakt een toegangspas aan (= identificatiemiddel).
* De Gegevens-/Proceseigenaar zorgt voor mandaatregister waaruit blijkt welke personen bevoegd zijn voor uitvoering van welke taken (autorisaties).
* De ICT-afdeling zorgt voor ICT-voorzieningen misschien en de geautoriseerde toegang tot benodigde applicaties evenals het authenticatiemiddel (zoals een toegangspas).
Deze stappen staan niet los van elkaar. Zij dienen namelijk één gemeenschappelijk doel: het bieden van geautoriseerde toegang en daarvoor zijn meerdere gegevens van de medewerker en meerdere acties vanuit de organisatie nodig om de benodigde zaken te regelen om de medewerker in de positie te stellen voor het uitvoeren van zijn taken. Omgekeerd zal de medewerker kennis moeten nemen van de missie/visie van de organisatie en van haar informatiebeveiligingsbeleid. Afbeelding 'Processtappen en acties bij de indiensttreding van een medewerker' geeft een beeld van de processtappen bij de indiensttreding (instroom) van een medewerker.
[[Afbeelding:Thema Toegangbeveiliging - Processtappen en acties bij de indiensttreding (instroom) van een medewerker.png|thumb|750px|none|alt=”Processtappen en acties bij de indiensttreding (instroom) van een medewerker”|Processtappen en acties bij indiensttreding van een medewerker]]
Nadat de processtappen en acties bij de indiensttreding van de medewerker zijn doorlopen, is de medewerker geïdentificeerd. De medewerker (gebruiker) bezit dan de nodige middelen, een fysiek toegangsbewijs voor toegang tot terreinen, gebouwen en ruimtes van de organisatie in de vorm van een toegangspas en een logisch toegangsbewijs in de vorm van een account voor toegang tot Informatievoorzieningen (IV) faciliteiten. Na het met de inloggegevens (identificatie/accountnaam en authenticatie) inloggen, krijgt de gebruiker toegang tot applicaties.
Aan het account, het identificatiebewijs van de gebruiker, zijn toegangsrechten (autorisaties) gekoppeld. Autorisatie (profiel) komt tot stand met de rol van de gebruiker en geeft hem het recht bepaalde taken in de applicatie uit te voeren. Bij doorstroom is er sprake van wijzigingen van de toegangsgegevens (identificatie, authenticatie en autorisatie). Bij uitstroom is er sprake van blokkering van deze gegevens.
De persoonlijke gegevens van de gebruiker zijn opgeslagen in het personeelssysteem, de rol en het profiel zijn opgeslagen in het autorisatiesysteem. De profielen en de taken zijn op hun beurt weer opgeslagen in het informatiesysteem. Afbeelding 'Schematische weergave autorisatieproces in de domeinen' geeft hiervan een overzicht.
[[Afbeelding:Thema Toegangbeveiliging - Het autorisatieproces.png|thumb|750px|none|alt=” Het autorisatieproces”|Schematische weergave autorisatieproces in de domeinen]]
==Tijdens het dienstverband==
Tijdens het dienstverband heeft de medewerker (gebruiker) toegang tot de informatiesystemen door de bij de indiensttreding verkregen middelen en toegangsrechten. Daarvoor moeten fysieke toegangssystemen, authenticatiesystemen en autorisatiesystemen worden ingericht.
Tijdens het dienstverband kunnen werkzaamheden van medewerkers worden gewijzigd en of op een andere functie/project worden geplaatst. Er kan ook sprake zijn van een (tijdelijke) overplaatsing. Dan zullen de nodige wijzigingen in functieprofielen (autorisatie) en taakrollen in het registratiesysteem worden doorgevoerd. De oorspronkelijke functie dient dan te worden gedeactiveerd en de toegangsrechten worden aangepast, geblokkeerd of verwijderd.
==Uitdiensttreding==
Uiteindelijk kan een medewerker door bepaalde redenen uit dienst treden. Dit houdt in dat bepaalde gegevens van de medewerkers dienen te worden geregistreerd en autorisaties voor het gebruik van applicaties moeten worden verwijderd.
<br><br>
: → [[ISOR:Autorisatieproces|Ga terug naar U.04 Autorisatieproces]]
De BIO Thema-uitwerking Applicatieontwikkeling, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen ([[CIP (Centrum Informatiebeveiliging en Privacybescherming)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]]). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’.
==Considerans==
CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact].
==Leeswijzer==
Voorafgaand aan het [[ISOR:BIO Thema Applicatieontwikkeling Beleid|Beleidsdomein]], [[ISOR:BIO Thema Applicatieontwikkeling Uitvoering|Uitvoeringsdomein]] en [[ISOR:BIO Thema Applicatieontwikkeling Control|Control-domein]], de kern van dit thema, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Applicatieontwikkeling/Inleiding|inleiding]] met een standaard paragraafindeling.
De volgende leeswijzer geldt voor dit normenkader:
*Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht.
*De controls, hierna genoemd criteria, en maatregelen, hierna genoemd normen, vermeld in dit normenkader zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is.
*Van best practices (open standaarden al dan niet toegankelijk met een licentie), zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is.
*Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.
De BIO Thema-uitwerking Clouddiensten, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen ([[CIP (Centrum Informatiebeveiliging en Privacybescherming)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]]). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’.
==Considerans==
CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact].
==Leeswijzer==
Voorafgaand aan het [[ISOR:BIO Thema Clouddiensten Beleid|beleidsdomein]], [[ISOR:BIO Thema Clouddiensten Uitvoering|uitvoeringsdomein]] en [[ISOR:BIO Thema Clouddiensten Control|control-domein]], de kern van dit document, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Clouddiensten/Inleiding|inleiding]] met een standaard paragraafindeling.
Aanvullend geldt:
* Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht.
* De controls en maatregelen vermeld in deze thema-uitwerking zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is.
* Van best practices (open standaarden al dan niet toegankelijk met een licentie) zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is.
* Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.
De BIO Thema-uitwerking Communicatievoorzieningen, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen [[Centrum Informatiebeveiliging en Privacybescherming (CIP)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]]. De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 van dit normenkader gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’.
==Considerans==
CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact].
==Leeswijzer==
Voorafgaand aan het [[ISOR:BIO Thema Communicatievoorzieningen Beleid|beleidsdomein]], [[ISOR:BIO Thema Communicatievoorzieningen Uitvoering|uitvoeringsdomein]] en [[ISOR:BIO Thema Communicatievoorzieningen Control|control-domein]], de kern van dit thema, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Communicatievoorzieningen/Inleiding|inleiding]] met een standaard paragraafindeling.
De volgende leeswijzer geldt voor dit normenkader:
*Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht.
*De controls, hierna genoemd criteria, en maatregelen, hierna genoemd normen, vermeld in dit normenkader zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is.
*Van best practices (open standaarden al dan niet toegankelijk met een licentie), zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is.
*Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.
De BIO Thema-uitwerking Huisvesting informatievoorzieningen, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen [[Centrum Informatiebeveiliging en Privacybescherming (CIP)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]]. De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 van dit normenkader gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’.
==Considerans==
CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact].
==Leeswijzer==
Voorafgaand aan het [[ISOR:BIO Thema Huisvesting Informatievoorziening Beleid|beleidsdomein]], [[ISOR:BIO Thema Huisvesting Informatievoorziening Uitvoering|uitvoeringsdomein]] en [[ISOR:BIO Thema Huisvesting Informatievoorziening Control|control-domein]], de kern van dit thema, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Huisvesting Informatievoorziening/Inleiding|inleiding]] met een standaard paragraafindeling.
De volgende leeswijzer geldt voor dit normenkader:
*Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht.
*De controls, hierna genoemd criteria, en maatregelen, hierna genoemd normen, vermeld in dit normenkader zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is.
*Van best practices (open standaarden al dan niet toegankelijk met een licentie), zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is.
*Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.
De BIO Thema-uitwerking Serverplatform, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen ([[CIP (Centrum Informatiebeveiliging en Privacybescherming)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]]). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’.
==Considerans==
CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact].
==Leeswijzer==
Voorafgaand aan het [[ISOR:BIO Thema Serverplatform Beleid|beleidsdomein]], [[ISOR:BIO Thema Serverplatform Uitvoering|uitvoeringsdomein]] en [[ISOR:BIO Thema Serverplatform Control|control-domein]], de kern van dit thema, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Serverplatform/Inleiding|inleiding]] met een standaard hoofdstukindeling.
De volgende leeswijzer geldt voor dit normenkader:
*Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht.
*De controls en maatregelen vermeld in deze thema-uitwerking zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is.
*Van best practices (open standaarden al dan niet toegankelijk met een licentie) zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is.
*Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.
De BIO Thema-uitwerking Softwarepakketten, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen ([[CIP (Centrum Informatiebeveiliging en Privacybescherming)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]]). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 1.0 en 1.2 van dit normenkader gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’.
==Considerans==
CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact].
==Leeswijzer==
Voorafgaand aan het [[Softwarepakketten Beleid|beleidsdomein]], [[Softwarepakketten Uitvoering|uitvoeringsdomein]] en [[Softwarepakketten Control|control-domein]], de kern van dit thema, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Softwarepakketten - Inleiding|inleiding]] met een standaard paragraafindeling.
De volgende leeswijzer geldt voor dit normenkader:
*Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht.
*De controls, hierna genoemd criteria, en maatregelen, hierna genoemd normen, vermeld in dit normenkader zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is.
*Van best practices (open standaarden al dan niet toegankelijk met een licentie), zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is.
*Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.
De BIO Thema-uitwerking Toegangsbeveiliging, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen ([[Centrum Informatiebeveiliging en Privacybescherming (CIP)|Centrum Informatiebeveiliging en Privacybescherming(CIP)]]). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 van dit normenkader gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’.
==Considerans==
CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact].
==Leeswijzer==
Voorafgaand aan het [[ISOR:BIO Thema Toegangsbeveiliging Beleid|beleidsdomein]], [[ISOR:BIO Thema Toegangsbeveiliging Uitvoering|uitvoeringsdomein]] en [[ISOR:BIO Thema Toegangsbeveiliging Control|control-domein]], de kern van dit thema, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Toegangsbeveiliging/Inleiding|inleiding]] met een standaard paragraafindeling.
De volgende leeswijzer geldt voor dit normenkader:
*Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht.
*De controls en maatregelen vermeld in deze thema-uitwerking zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is.
*Van best practices (open standaarden al dan niet toegankelijk met een licentie) zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is. +
De BIR is een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen). De BIR 2017 is volledig gebaseerd op de internationale norm [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO/IEC 27002]]. Het concretiseert een aantal eisen tot verplichte operationele afspraken (rijksmaatregelen), om een eenduidig minimumniveau van beveiliging voor gegevens te garanderen. De standaard basisbeveiligingsniveaus (BBN's) met bijbehorende beveiligingseisen maken risicomanagement eenvoudiger. +
Een indeling die binnen de informatiebeveiliging wordt gehanteerd, waarbij de Beschikbaarheid (continuïteit), de Integriteit (betrouwbaarheid) en de Vertrouwelijkheid (exclusiviteit) van informatie en systemen wordt aangegeven. +
BLAU zal bestaan uit een kernset van de gegevens uit de huidige Polisadministratie van het UWV. De polisadministratie is reeds operationeel en gevuld. Zij het niet met de wettelijke status van een basisregistratie (de planning van de Polisadministratie is daarom niet opgenomen in de releasekalender). Gegevens uit de Polisadministratie kunnen echter wel geleverd worden aan overheidsorganisaties (voor zover wetgeving dat toestaat). Wat betreft planning (primo 2018) bevindt BLAU zich nog in een pril stadium. Er is nog geen besluit genomen of de basisregistratie BLAU onwikkeld wordt. +
BLOG Expertgroep Dienstverlening: het spanningsveld en wat doen we fout? +
Een standaard model voor het beheer en ontwikkelen van open standaarden. Dit model is ook toe te passen voor (referentie)architecturen, afsprakenstelsels en voorzieningen. +
Authentieke bron voor inkomensgegevens van personen die met Nederland te maken hebben. +
Authentieke bron voor percelen, eigendom, hypotheken, beperkte rechten (zoals recht van erfpacht, opstal en vruchtgebruik) en leidingnetwerken, alsmede kadastrale kaarten met perceel, perceelnummer, oppervlakte, kadastrale grens en de grenzen van het Rijk, de provincies en gemeenten in Nederland. +
Deze te downloaden koppeltabel biedt de relatie tussen BAG-verblijfsobjecten en het bijbehorende kadastrale perceel.
[http://www.kadaster.nl/web/Themas/Registraties/BAG/BAGartikelen/BRKBAG-koppeling.htm BRK-BAG koppeltabel op website Kadaster] +
Bestandslevering van de BRK. Integreert administratieve en geografische gegevens. Leverbaar als eenmalige standlevering, dagelijkse mutatielevering. Filtering mogelijk op gemeente, gebied en subject. Downloadservice.
* [http://www.kadaster.nl/web/artikel/BRK-Levering-2/BRK-Levering-1.htm BRK Levering op website Kadaster] Verwerkingstermijn: maximaal 15 werkdagen. +
Bestandslevering van de BRK. Integreert administratieve en geografische gegevens. Leverbaar als eenmalige standlevering, periodieke standlevering. Filtering mogelijk op gemeente, gebied en subject. Downloadservice. Verwerkingstermijn: maximaal 15 werkdagen.
* [http://www.kadaster.nl/web/Themas/Registraties/BRK.htm BRK Levering op website Kadaster] +
Authentieke bron voor geo-informatie in Nederland: gegevens en modellen over de ondergrond (bodem, geologie, grondwater, mijnbouw). +
Authentieke bron voor persoonsgegevens van burgers en van buitenlanders die met Nederland te maken hebben. +
Authentieke bron voor geo-informatie in Nederland: topografische gegevens. +
Authentieke bron voor gegevens over voertuigen in Nederland en de eigenaren daarvan. +
Met BSI-Standard 200-2 biedt [[BSI (Bundesamt für Sicherheit in der Informationstechnik)|Bundesamt für Sicherheit in der Informationstechnik (BSI)]] een methodologie voor effectief beheer van informatiebeveiliging. Dit kan worden aangepast aan de eisen van organisaties van verschillende soorten en maten. In BSI-Standard 200-2 wordt dit geïmplementeerd via de drie methodieken:
# Standard Protection
# Basic Protection
# Core Protection +
Het onderwerp bedrijfscontinuïteitsbeheer (BCM) is al jaren stevig verankerd in IT-Grundschutz en biedt met de vorige BSI-standaard 100-4 een gefundeerde ondersteuning voor calamiteitenbeheer. De voortdurende ontwikkelingen en ervaringen op het gebied van BCM, emergency management en (IT) crisismanagement, evenals de gerelateerde BSI-standaarden voor informatiebeveiliging, hebben de noodzaak aangetoond om de BSI Standard 100-4 fundamenteel te moderniseren.
De BSI 200-4 biedt praktische instructies voor het opzetten en opzetten van een Business Continuity Management Systeem (BCMS) in uw eigen organisatie. Op deze manier maakt het vooral onervaren BCM-gebruikers een gemakkelijke introductie tot het onderwerp mogelijk. Voor ervaren BCM-gebruikers wordt een normatieve catalogus van eisen ter beschikking gesteld. Er is momenteel geen certificering voor de standaard gepland.
Na de Community Draft-fase tot 30 juni 2021 zullen alle opmerkingen dienovereenkomstig worden bekeken en verwerkt. +
Burgerlijk wetboek, boek 3: vermogensrecht +
Citeren, vinden en verbinden van wet- en regelgeving gaat door toepassing van de BWB standaard sneller, eenvoudiger en geeft minder kans op fouten. Gebruik van de standaard biedt daardoor verbetering van interoperabiliteit.
De open standaard BWB biedt een eenduidige manier van verwijzen naar (onderdelen van) wet- en regelgeving.
De laatste versie (versie 1.3.1) maakt het mogelijk om in wet- en regelgeving te kunnen verwijzen naar:
* taalversies en onderdelen van internationale verdragen,
* wet- en regelgeving waarvan de indeling niet voldoet aan de gebruikelijke nummering van hoofdstukken en paragrafen, en
* ruime begrippen zoals “enig artikel”.
De drie Juriconnect standaarden BWB, ECLI en JCDR zijn gericht op standaardisatie van identificatie met het doel om de geïdentificeerde inhoud te delen.
De standaard BWB (Basis Wetten Bestand) is gericht op verwijzing naar geconsolideerde wet- en regelgeving. Voor verwijzing naar wet- en regelgeving of onderdelen daarvan in wetten.overheid.nl, is aan elke regeling een uniek identificatienummer (BWBID) toegekend. De Juriconnect standaard voor BWB beschrijft hoe deze verwijzing wordt vormgegeven. Nota bene: op de website van Juriconnect wordt de BWB standaard ook wel aangeduid als de standaard "logische links naar wetgeving".
De standaard JCDR (Juriconnect Decentrale Regelgeving) is gericht op identificatie van en verwijzing naar geconsolideerde decentrale regelgeving. Elke overheid legt een collectie algemeen verbindende voorschriften aan met de teksten van verordeningen en keuren, waarin de later vastgestelde wijzigingen zijn verwerkt (geconsolideerde vorm). Deze collectie is de Centrale Voorziening Decentrale Regelgeving (CVDR). De Juriconnect standaard voor decentrale voorzieningen beschrijft hoe dient te worden verwezen naar documenten die in CVDR zijn opgeslagen.
De ECLI standaard (European Case Law Identifier) is gericht op identificatie voor citatie in het juridische domein. De ECLI is een Europese standaard notatie voor het uniek identificeren van jurisprudentie, met een sterke basis en input vanuit LJN (Landelijk Jurisprudentie Nummer). De standaard beschrijft de wijze waarop, met behulp van een Uniform Resource Identifier (URI), kan worden verwezen naar een European Case Law Identifier.
Vanwege de naderende expiratiedatum van de huidige overeenkomst is deze aanbesteding opgestart. Het doel van de aanbesteding is het sluiten van een Overeenkomst met één dienstverlener op het gebied van afdrukdiensten inclusief dienstverlening. De aanbesteding betreft een "all-in" dienst waaronder naast de fysieke beschikbaarstelling van de hard- en software sprake is van ondersteuning van de afdelingen ICT en Support Office. De intentie is dat de Overeenkomst op 1 oktober 2020 in gaat. +
The purpose of the Tendering Process is to conclude an Agreement with one (1) service provider for services regarding a payment factory, including SWIFT services. The intention is for the Agreement to commence on 1 February 2021. (Het doel van het aanbestedingsproces is om een overeenkomst af te sluiten met één (1) dienstverlener voor diensten met betrekking tot uitvoering van het betalingsverkeer, inclusief SWIFT diensten. Het is de intentie om de overeenkomst op 1 februari 2021 in te laten gaan.) +
Rijksportaal is het Rijksbrede intranet voor Rijksambtenaren bij alle ministeries. Het is dé digitale toegangspoort tot informatie, kennis en dienstverlening die Rijksmedewerkers ondersteunen in hun werkzaamheden. Het is bedoeld voor kerndepartementen en uitvoeringsorganisaties van de Rijksoverheid. Op advies van de Stuurgroep Rijksportaal is besloten een project Vernieuwing Rijksportaal op te starten om het huidige Rijksportaal te vervangen. De stuurgroep Rijksportaal wil de positie, de scope en de rol van het Rijksportaal bij deze vervanging vasthouden, maar met een nieuw Rijksportaal weer de mogelijkheden hebben om functioneel en in bereik te groeien. +
BZK en VNG werken aan een portaal met alle API's van organisaties met een publieke taak +
Een gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen. +
Baseline Informatiebeveiliging Overheid (BIO) openbaar gepubliceerd +
Een in een basisregistratie opgenomen gegeven. +
Een bij wet als basisregistratie aangemerkte registratie. +
Batch-gewijs via bestanden: afnemer stuurt een lijst BSN’s en krijgt BSN’s + AIG (authentiek inkomen gegeven) terug. +
Batch-gewijs via bestanden: afnemer stuurt een lijst BSN’s en krijgt BSN’s + AIG (authentiek inkomen gegeven) terug. +
==Objectdefinitie==
Betreft een vastgelegde manier van handelen voor het beheren van serverplatforms.
==Objecttoelichting==
De taken/activiteiten kunnen gerelateerd zijn aan het starten en afsluiten van de computer, back-up en onderhoud van servers. +
==Objectdefinitie==
Omvat eindgebruikersfuncties voor het bedrijfsproces en de functionele ondersteuning van informatiebeveiliging die daarvoor nodig wordt geacht.
==Objecttoelichting==
De eigenschappen van het softwarepakket voldoen aan de businessbehoefte van de klant en ondersteunt daarmee op een veilige manier het bedrijfsproces. Het softwarepakket bevat goed-gedefinieerde mogelijkheden en interfaces.
Integratie en mogelijke koppelingen spelen daarbij een belangrijke rol. Het is zinvol na te gaan welke (open) standaarden een softwarepakket ondersteunt en in hoeverre deze in de toekomst actueel gehouden worden. Denk daarbij aan een standaard als Pan-European Public Procurement OnLine (PEPPOL) voor E-factureren.
Het softwarepakket dient de klant naast businessfuncties ook voldoende ‘digitale behendigheid’ te leveren, waardoor de organisatie componenten kan veranderen, naar behoefte kan uitbreiden en het softwarepakket aan het einde van de levenscyclus kan vervangen onafhankelijk van de belendende systemen.
==Schaalgrootte==
Elke schaalgrootte.
==Voor wie==
Klant. +
==Objectdefinitie==
Omvat maatregelen waarmee de toepassing van softwarepakketten voor bedrijfskritische processen doorgang kan vinden, ondanks incidenten en uitval van leveranciersondersteuning.
==Objecttoelichting==
Omdat de klant voor de continuïteit van haar bedrijfsvoering in hoge mate afhankelijk kan zijn van de beschikbare functionaliteit van softwarepakketten zijn maatregelen voor calamiteiten van essentieel belang. De beoogde continuïteit kan daarbij bepaald worden door externe factoren, zoals het ‘omvallen’ van cloud-leveranciers of de hostingproviders.
Bedrijfscontinuïteit omvat een set van maatregelen, die tijdens calamiteiten, zoals natuurrampen, binnen de overeengekomen maximale uitvalsduur (Recovery Time Objective (RTO)), zorgt voor het herstel van data en de kritische dienstverlening, waarbij dataverlies beperkt blijft tot het maximaal toegestane dataverlies. Bekende continuïteitsmaatregelen zijn: redundantie, disaster recovery en het periodiek aantonen dat herstelfuncties werken.
==Schaalgrootte==
Middel en groot.
==Voor wie==
Klant en leverancier. +
==Objectdefinitie==
Betreft een besturingsproces voor activiteiten die organisaties beschermen tegen ontwrichtende gebeurtenissen.
==Objecttoelichting==
Bedrijfscontinuïteitsmanagement (BCM) beschrijft de eisen voor een managementsysteem om organisaties te beschermen tegen ontwrichtende gebeurtenissen, om de kans op deze gebeurtenissen te verkleinen en om te zorgen dat een organisatie daar volledig van kan herstellen. Hierbij zal de organisatie zich onder andere richten op ontwikkeling, implementatie en onderhoud van beleid, strategieën en programma’s om de effecten van mogelijk ontwrichtende gebeurtenissen de organisatie te kunnen beheersen. In de cloud-omgeving vertrouwt de Cloud Service Consumer (CSC), de Cloud Service Provider (CSP) als derde partij. De CSP zal de CSC zekerheid moeten geven over documentatie over assets en resources, incidentmanagement, bedrijfscontinuïteit, herstelplannen, beleid, beheerprocessen en back-up-management. +
==Objectdefinitie==
Omvat maatregelen, die tijdens normaal bedrijf en bij voorkomende calamiteiten, binnen de overeengekomen maximale uitvalduur, zorgen voor het herstel van de data en de dienstverlening, waarbij dataverlies wordt voorkomen.
==Objecttoelichting==
Omdat de Cloud Service Consumer (CSC) voor haar bedrijfsvoering sterk afhankelijk is van de Cloud Service Provider (CSP) en van externe factoren zijn bedrijfscontinuïteitsservices van essentieel belang. Bedrijfscontinuïteitsservices omvatten het pakket van maatregelen, dat zowel voor normaal bedrijf (met Quality of Service (QoS)) als voor situaties van calamiteiten, zoals natuurrampen, binnen de overeengekomen maximale uitvalsduur Recovery Time Objective (RTO), zorgt voor het herstel van data en de kritische dienstverlening, waarbij dataverlies beperkt blijft tot het overeengekomen maximale dataverlies. Bekende continuïteitsmaatregelen zijn redundantie, disaster recovery en het periodiek aantonen dat herstelfuncties werken. +
Een bedrijfsfunctie beschrijft datgene wat gedaan moet worden om een bedrijfsdoelstelling te behalen, onafhankelijk van de inrichting van de organisatie en haar processen. +
Een bedrijfsfunctiemodel is een model van de bedrijfsfuncties van een organisatie en beschrijft wat een organisatie doet onafhankelijk van hoe het wordt uitgevoerd. +
==Objectdefinitie==
Betreft de registratie van alle, tot het bedrijfsproces behorende middelen.
==Objecttoelichting==
NB De control uit de BIO is ten opzichte van de [[NEN-EN-ISO/IEC 27001:2017 (Managementsystemen voor informatiebeveiliging - Eisen)|ISO 27001]] veranderd.
In de huisvesting van de rekencentra zijn verschillende bedrijfsmiddelen, voorzieningen en hieraan gerelateerde componenten opgenomen, zoals: glasvezel en bekabeling, back-upvoorzieningen, klimaatbeheersing, airconditioning en geavanceerde brandblussystemen. Het is van belang de componenten van deze voorzieningen zelf en/of informatie over deze voorzieningen te inventariseren en te registreren zodat de juiste informatie beschikbaar is, wanneer gebeurtenissen daarom vragen. +
==Objectdefinitie==
Betreft het veilig en gecontroleerd verwijderen van bedrijfsmiddelen.
==Objecttoelichting==
Bedrijfsmiddelen zijn alle objecten waarmee bedrijfsgegevens kunnen worden opgeslagen en/of verwerkt en objecten, waarmee toegang tot gebouwen, ruimten en IT-voorzieningen kan worden verkregen. Verwijdering en afvoer van deze middelen dient nauwkeurig met vastgestelde procedures te worden uitgevoerd. +
De overheidsdienstverlener gebruikt begrijpelijke taal in alle communicatie over haar dienstverlening. Zo is de dienst voor iedereen te begrijpen en kunnen burgers en bedrijven gemakkelijk een aanvraag doen, een benodigde actie uitvoeren, of een vraag stellen. En is ook de communicatie die daar op volgt helder.
Het is voor burgers en bedrijven duidelijk wat de betekenis is van informatie binnen het werkproces, waar het is ontvangen of gemaakt. Het is bijvoorbeeld bekend wanneer de informatie is gemaakt, door wie, waar zij betrekking op heeft en wat de status is.
Ook automatische besluitvorming (door toepassing van algoritmes) vindt altijd plaats op een manier die voor burgers en bedrijven begrijpelijk is. +
De mate waarin gegevens eenvoudig gelezen en geïnterpreteerd kunnen worden door gebruikers. +
Is in de wet/regelgeving/beleid/regel etc. voldoende aandacht besteed aan de volgende zaken: <br />
# Zijn de zinsbouw en schrijfstijl laagdrempelig genoeg?
# Wordt gebruik gemaakt van lange zinnen of bijzinnen?
# Is er een (memorie van) toelichting beschikbaar?
# Welke voorkennis wordt van de lezer verwacht?
# Is bij een wetswijziging een geconsolideerde versie beschikbaar?
# Zijn puur technische (wets)wijzigingen meegenomen en zijn die wijzigingen als zodanig gemarkeerd? +
Het begrip 'Informatiecatalogus' sec wordt nauwelijks gebruikt: wat is een 'informatiecatalogus' exact en waarin dit verschilt van een gegevenswoordenboek, metadata rond gebruik en een dienstbeschrijving moet nader gepreciseerd worden. Of zijn het dezelfde soort dingen? Zie ook issue IKV-006 +
Soms worden begrippen als synoniemen door elkaar gebruikt, of definities gehanteerd die in veel sectoren niet herkend zullen worden +
Op het gebied van beheer en ontwikkeling van het portalen domein websites heeft LVNL de volgende doelstellingen:
<ul>
<li>het beheer en (re)transitie op een betrouwbare en proactieve manier geregeld hebben;</li>
<li>goed kunnen sparren en meedenken over het realiseren van nieuwe voorgestelde functionaliteiten;</li>
<li>de LVNL website verder uit kunnen bouwen, waarbij de inschrijver op een efficiënte manier het Umbraco platform inzet;</li>
<li>de gebruikers van website een betere gebruikerservaring geven, zodat gebruikers (onder andere potentiele sollicitanten voor luchtverkeersleider en luchtvarenden) de website prettig, makkelijk en snel kunnen gebruiken.</li>
</ul> +
==Objectdefinitie==
Betreft een instandhoudingsproces van servers vanuit een externe niet-vertrouwde omgeving.
==Objecttoelichting==
Toegang tot de servers is beperkt tot geautoriseerde personen en informatiesystemen.
Onder bepaalde voorwaarden is het beheerders ‘van buiten’ de door de organisatie beheerde netwerken, toegestaan servers te benaderen. +
==Beschrijving==
Het moet mogelijk zijn om vertegenwoordigingsbevoegdheden te creëren, te wijzigen en te
beëindigen.
==Voorbeelden==
==Rationale==
Het verdient sterk de aanbeveling om een vertegenwoordigingsbevoegdheid expliciet vast te
leggen. Op die manier wordt voorkomen dat er discussie ontstaat over de vraag óf er een
vertegenwoordigingsbevoegdheid is verleend en voor welke diensten.
Het initiatief tot een vrijwillige machtiging kan zowel bij de vertegenwoordigde als de
vertegenwoordiger liggen. De persoon die niet het initiatief heeft genomen moet de machtiging
kunnen bevestigen.
De memorie van toelichting WDO, onder artikel 5 lid 1 onderdeel b, zegt over het vastleggen
van een machtiging het volgende:
“Bij de vastlegging in elektronische vorm wordt de strekking van de vertegenwoordigingsbevoegdheid
uitgedrukt in termen van de elektronische diensten (wat) die de vertegenwoordiger
namens de vertegenwoordigde mag uitvoeren. Hierbij moet bedacht worden, dat registratie
geen voorwaarde is voor het ontstaan van een machtiging; het is een hulpmiddel voor een
bestuursorgaan of aangewezen organisatie om te bepalen of iemand is gemachtigd, oftewel het
vormt een aanwijzing op basis waarvan bestaan, aard en omvang van de machtiging bepaald
kan worden. De machtigingsdienst controleert thans niet of de aan de registratie ten grondslag
liggende volmacht in alle opzichten rechtsgeldig is, dus bijvoorbeeld of de vertegenwoordigde
handelingsbekwaam was op het moment van afgeven van de machtiging en registratie ervan.”
We hebben ervoor gekozen om het kunnen creëren, wijzigen (ook wel: corrigeren) en
beëindigen (ook wel: intrekken) door alle betrokkenen (verstrekker, vertegenwoordigde en
vertegenwoordiger) samen te nemen tot één generieke functie.
Een verdere rationale voor deze generieke functie en de implicaties die hieruit voortkomen is te
vinden in:
* Algemene kenmerken van machtigen (hoofdstuk 3),
* Specifieke kenmerken van vrijwillige machtiging (paragraaf 3.1),
* Specifieke kenmerken van wettelijke vertegenwoordiging (paragraaf 3.2),
* Wettelijk kader A en B (paragraaf 4.1.1),
* Beleidskader D (paragraaf 4.1.2),
* Maatschappelijke en technische ontwikkeling F (paragraaf 4.1.3).
Met ‘beheren’ bedoelen we hieronder steeds ‘creëren, wijzigen en beëindigen’.
==Implicaties==
# Het is mogelijk om machtigingen tussen natuurlijke personen, tussen niet-natuurlijke personen en tussen natuurlijke en niet-natuurlijke personen te beheren.
# Het is mogelijk om een vertegenwoordigingsbevoegdheid met meerdere vertegenwoordigers te beheren.
# Het is mogelijk om een vertegenwoordigingsbevoegdheid voor een dienst, combinatie van diensten of alle diensten te beheren.
# Bij vrijwillig machtigen kunnen vertegenwoordigde en vertegenwoordiger instemmen met de machtiging.
# Het is mogelijk om een bij gerechtelijke uitspraak geregelde vertegenwoordigingsbevoegdheid te beheren.
# Bij een bij gerechtelijke uitspraak geregelde vertegenwoordigingsbevoegdheid is de gerechtelijke uitspraak waarop deze is gebaseerd vermeld.
# Het moet mogelijk zijn om de vertegenwoordigde en de vertegenwoordigers waartussen de vertegenwoordigingsrelatie geldt eenduidig te vermelden in de vertegenwoordigingsbevoegdheid. Dit betekent dat deze personen een unieke aanduiding moeten hebben.
# Het moet mogelijk zijn om diensten waarvoor de vertegenwoordigingsbevoegdheid geldt eenduidig te vermelden in de vertegenwoordigingsbevoegdheid. Dit betekent dat diensten een unieke aanduiding moeten hebben die op gestandaardiseerde wijze opgenomen kan worden in een vertegenwoordigingsbevoegdheid.
# Derde partijen kunnen een voorstel tot intrekking of wijziging van een vertegenwoordigingsbevoegdheid doen. Na controle op de grond van de intrekking wordt de intrekking verwerkt. Hiervoor zijn afspraken nodig over welke partijen voorstellen kunnen doen, wat de gronden zijn en waar deze gevonden kunnen worden.
==Documentatie==
* [[media:GO_Machtigen_en_vertegenwoordigen.pdf|GO Machtigen en vertegenwoordigen (PDF, 642 kB)]]
==Kaders==
Deze kaders zijn bepalend voor deze generieke functie.
* [[Algemene_Wet_Bestuursrecht | Algemene Wet Bestuursrecht]]
* [https://www.digitaleoverheid.nl/dossiers/wet-digitale-overheid/ Wet digitale overheid]
* [https://www.rijksoverheid.nl/documenten/publicaties/2017/10/10/regeerakkoord-2017-vertrouwen-in-de-toekomst/ Regeerakkoord 2017]
==Toelichting relaties==
De bestaande GDI-voorzieningen die hieronder zijn opgenomen onder ‘Gerealiseerd door' realiseren delen van de generieke functies van het GO-domein. Deze bestaande voorzieningen kunnen afwijken van de keuzes die voor het GO-domein zijn gemaakt.
Beheeroverleg overheidsarchitecturen +
==Objectdefinitie==
Betreft een doelgerichte bundeling van kennis en vaardigheden tussen personen die verantwoordelijk zijn voor de beheersing van softwareontwikkeling.
==Objecttoelichting==
De projectmanager heeft een (beheers)organisatiestructuur ingericht, waarbij de verantwoordelijkheden voor de beheersprocessen met toereikende bevoegdheden zijn uitgedrukt en op het juiste niveau zijn gepositioneerd. +
==Objectdefinitie==
Betreft een doelgerichte bundeling van kennis en vaardigheden tussen personen met taken, verantwoordelijkheden en bevoegdheden voor het functionele en technische beheer van clouddiensten.
==Objecttoelichting==
Voor het adequaat beheersen en beheren van clouddiensten moet de Cloud Service Provider (CSP) een beheersingsorganisatie hebben ingericht, waarin de structuur en verantwoordelijkheden voor beheersprocessen met toereikende bevoegdheden zijn uitgedrukt en op het juiste niveau zijn gepositioneerd.
In de relatie tussen de beheersingsprocessen van de CSP en de Cloud Service Consumer (CSC) zijn ook de taken en verantwoordelijkheden tussen het functioneel en technisch beheer overeengekomen. +
==Objectdefinitie==
Betreft een doelgerichte bundeling van kennis en vaardigheden tussen personen met taken, verantwoordelijkheden en bevoegdheden voor het functionele en technische beheer van huisvesting Informatievoorzieningen (IV).
==Objecttoelichting==
De verantwoordelijke stakeholder voor de beheersorganisatie van huisvesting IV behoort een organisatiestructuur vastgesteld te hebben, waarin de verantwoordelijkheden voor de beheersprocessen met toereikende bevoegdheden zijn uitgedrukt en op het juiste niveau zijn gepositioneerd. +
==Objectdefinitie==
Betreft een doelgerichte bundeling van kennis en vaardigheden tussen personen met taken, verantwoordelijkheden en bevoegdheden voor het beheersen van en rapporteren over netwerken en communicatievoorzieningen.
==Objecttoelichting==
Het adequaat beheersen en beheren van de communicatievoorzieningen vereist een toereikende organisatiestructuur waarin de procesverantwoordelijkheden en de toereikende bevoegdheden van de functionarissen zijn vastgelegd en op het juiste niveau zijn gepositioneerd. +
==Objectdefinitie==
Betreft een doelgerichte bundeling van kennis en vaardigheden tussen personen met taken, verantwoordlijkheden en bevoegdheden voor de beheersing van de serverplatformomgevingen.
==Objectoelichting==
Voor het adequaat beheersen en beheren van servers en serverplatforms zou een beheersorganisatiestructuur moeten zijn vastgesteld, waarin de verantwoordelijkheden voor de beheersprocessen met toereikende bevoegdheden zijn uitgedrukt en op het juiste niveau zijn gepositioneerd. +
==Objectdefinitie==
Betreft een doelgerichte bundeling van kennis en vaardigheden tussen personen met taken, verantwoordelijkheden en bevoegdheden voor de beheersing van toegangsbeveiliging en de doorontwikkeling van het afsprakenstelsel.
==Objecttoelichting==
Voor het adequaat beheersen en beheren van het toegangsbeveiligingssysteem dient een beheersorganisatiestructuur te zijn vastgesteld, waarin de verantwoordelijkheden voor de beheersprocessen met toereikende bevoegdheden zijn uitgedrukt en op het juiste niveau zijn gepositioneerd. +
in een omgeving die vooraf gedefinieerd is en volgens wetgeving en referentiearchitectuur is ingericht. Het is een structurele aanpak. +
De overheid levert diensten om de behoeften van burgers in te vullen. Dat kan alleen als we weten wat die behoeften zijn en hoe ze door de tijd heen veranderen.
De inventarisatie moet proactief zijn en niet beperkt zijn tot burgers die zich zelf hebben opgegeven voor het onderzoek, of het opschrijven van spontaan geuite behoeften.
De inventarisatie moet uiteindelijk de behoeften van alle (groepen) burgers in kaart brengen, maar kan ook onder deelgroepen worden uitgevoerd, over een specifiek leefdomein gaan en/of uitgevoerd worden door verschillende organisaties.
De ruwe resultaten van de verschillende inventarisaties worden gepubliceerd, met inachtneming van de privacy van individuele burgers en kleine herkenbare groepen.
Daarnaast is er ook een analyse nodig van de ruwe resultaten, waarbij gezocht wordt naar verbanden, trends en onderliggende basisbehoeften.
De inventarisatie moet politiek-neutraal gebeuren, zodat het een eerlijke basis kan zijn voor het publieke en politieke debat over welke diensten de overheid zou moeten leveren en aan wie.
Inventarisatie moet zowel ad hoc gebeuren, als daar aanleiding toe is, als periodiek om veranderende behoeften op te merken.
De behoeften worden los van de bestaande overheidsdiensten onderzocht, zodat de onderliggende basisbehoeften duidelijk worden: geen behoefte aan een toeslag die het afnemen van kinderopvang betaalbaar maakt, maar behoefte aan een manier om ondanks de zorg voor (jonge) kinderen toe te komen aan zaken als werk, studie, boodschappen, sport et cetera. De eigen ideale invulling van die behoefte wordt ook genoteerd - of dat nu kinderopvang is zoals dat nu gebruikelijk is, of bijvoorbeeld meer flexibiliteit bij de werkgever of andere schooltijden. +
==Objectdefinitie==
Betreft middelen voor transport van energie en signalen.
==Objecttoelichting==
Binnen huisvesting Informatievoorzieningen (IV) is alle apparatuur verbonden met een bekabelingssysteem die in speciale kabelruimten is geïnstalleerd. Deze bekabelingsruimten kunnen doelwit worden van misbruik door bijvoorbeeld speciale afluisterapparatuur aan te sluiten. Het is daarom noodzakelijk om deze bekabelingsruimten te voorzien van specifieke beveiligingsmaatregelen. +
Regeling m.b.t. het uitgeven en publiceren van wetten, regelingen e.d. +
In 2019/2020 is er een start gemaakt om op een andere manier te kijken naar systemen en processen. Belastingen is één van de processen dat onderdeel uitmaakt van deze nieuwe zienswijze en daarvoor zijn we op zoek naar de beste oplossing die ons hierbij kan ondersteunen. Wij willen de huidige belastingapplicatie vervangen voor een nieuwe applicatie (SaaS oplossing). +
Heeft een eerste registratie, de [https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/prive/werk_en_inkomen/geregistreerde_inkomen_en_de_inkomensverklaring/alles_over_geregistreerde_inkomen/alles-over-het-geregistreerde-inkomen BRI], via Linked Data ontsloten en werkt Linked Data voor datamining. +
==Objectdefinitie==
Betreft resultaten van een besluitvorming over en een vastgelegde manier van handelen voor de waarborging van de informatiebeveiliging in netwerken.
==Objecttoelichting==
De [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002 2017]]: 14.2.1 formuleert ‘Beveiligd ontwikkelen’ als een eis voor het opbouwen van een beveiligde dienstverlening, architectuur, software en beveiligd systeem. Dit object richt zich op inrichtings- en onderhoudsaspecten van communicatievoorzieningen. In het te formuleren beleid worden onder andere standaarden en procedures beschreven voor het beveiligd inrichten en onderhouden van communicatievoorzieningen. +
'''Objectdefinitie'''
Betreft het beleid voor toegestane uitwisseling van data via berichtenverkeer.
'''Objecttoelichting'''
Integratiefuncties van middleware maken het mogelijk om data uit te wisselen met andere applicaties, zoals bijvoorbeeld basisregistraties. De technische functies bieden daarbij de mogelijkheid om voorafgaand aan het transport de verschillende data-elementen te rangschikken en bijvoorbeeld via aggregatie nieuwe data te genereren. Als brondata ook persoonsgebonden informatie bevat, dan is speciale aandacht voor de borging van privacy (onder andere Algemene Verordening Gegevensbescherming (AVG)-bepalingen) noodzakelijk. +
==Objectdefinitie==
Betreft het resultaat van besluitvorming over toegestane middlewarefuncties.
==Objecttoelichting==
Voor de beveiliging van middlewarecomponenten en met name voor de toegang tot en de verwerking van data van deze componenten, hebben zowel de gebruikersorganisatie als de IT-leverancier verantwoordelijkheden. De IT-leverancier verleent diensten op basis van beleidsdocumenten voor uitvoerings-, implementatie-, evaluatie- en rapporteringsactiviteiten. De gebruikersorganisatie stelt beleid op en is verantwoordelijk voor de data. De middlewarecomponenten zijn gerelateerd aan functionaliteiten, zoals in afbeelding 2 is aangegeven. +
==Objectdefinitie==
Betreft het resultaat van een besluitvorming over welke regels en protocollen gehanteerd moeten worden om op een veilige wijze beveiligde applicaties te ontwikkelen.
==Objecttoelichting==
De [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002 2017]], artikel 14.2.1 formuleert ‘Beveiligd ontwikkelen’ als een eis voor het opbouwen van een beveiligde dienstverlening, architectuur, software en een beveiligd systeem.
In deze BIO Thema-uitwerking wordt bij het object ‘Beleid voor (beveiligd) ontwikkelen’ aan applicatieontwikkelingsbeleid gerelateerde specifieke aspecten benadrukt. In zo’n beleid worden onder andere methoden en technieken voor requirementsanalyse en -richtlijnen voor beveiliging in de levenscyclus van softwareontwikkeling besproken. +
==Objectdefinitie==
Betreft het resultaat van een besluitvorming over het onderhouden van een serverplatform.
==Objecttoelichting==
De [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002 2017]] formuleert ‘beveiligd ontwikkelen’ in paragraaf 14.2.1 ‘Beleid voor beveiligd ontwikkelen’ als een eis voor het opbouwen van een beveiligde dienstverlening, software, systemen en architectuur.
In deze BIO Thema-uitwerking wordt bij het object ‘Beleid voor beveiligde inrichting en onderhoud’ inrichtings- en onderhoudsaspecten van serverplatform benadrukt. In het beleid worden onder andere standaarden en procedures beschreven voor het beveiligd inrichten en onderhouden van servers. +
In deze brief schetst het kabinet zijn beleidsvoornemens ten aanzien van de regie van burgers op de eigen persoonlijke gegevens en beschrijft het de aanpak op hoofdlijnen om deze te realiseren. <br>
De brief geeft daarmee invulling aan de volgende, in Regeerakkoord en NL DIGIbeter (Agenda Digitale Overheid) geschetste voornemens:
* vergroten van de regie op persoonsgegevens ter bevordering van de privacy en creëren van de mogelijkheid om deze zelf te delen met organisaties buiten de overheid;
* doorontwikkelen van MijnOverheid tot een plek waar burgers hun persoonlijke gegevens kunnen inzien, via welke zij een onjuist gegeven kunnen laten herstellen, en waar zij regie kunnen voeren over hun gegevens;
* verbeteren van de gegevenshuishouding van de overheid, in het bijzonder de basisregistraties (voorzover voor deze beleidsbrief relevant);
* sneller herstellen van de gevolgen van het gebruik van een onjuist gegeven.
Met deze brief (en meer specifiek bijlage 1) geeft het kabinet tevens invulling aan de motie
Koerhuis/Den Boer over een online-identiteit voor iedere Nederlander, ingediend bij het nota-overleg "Online identiteit en regie op persoonlijke gegevens" van 26 november 2018.
De brief sluit verder aan bij recente brieven van het kabinet over Digitale Inclusie en de Data
Agenda Overheid. +
NORA is gebaseerd op bestaand overheidsbeleid (Nationaal en Europees) en op de instrumenten die in het kader van dat beleid zijn ontwikkeld, zoals wetten, regelgeving, Kamerstukken en bestuursakkoorden. +
==Objectdefinitie==
Omvat de evaluatie van de mate waarin de serveromgeving voldoet aan de vooraf gestelde technische eisen.
==Objecttoelichting==
Het is noodzakelijk om de technische omgeving regelmatig te beoordelen om de beveiliging doeltreffend te kunnen beheersen. Hiertoe dienen periodiek zowel de organisatorische als technische aspecten beoordeeld te worden, zoals: de toepassing van het geformuleerd inrichtingsbeleid voor servers, serverplatformarchitectuur, taken en verantwoordelijkheden, gebruik van technische middelen, frequentie, controle aanpak en inschakelen van externe specialisten. Als resultaat dient een rapportage van bevindingen aan het management te worden uitgebracht. +
==Objectdefinitie==
Omvat de evaluatie van de mate waarin de actuele toegangsrechten nog valide zijn.
==Objecttoelichting==
Beoordeling toegangsrechten is gerelateerd aan twee aspecten: beoordelingsproces en toegangsrechten. Het aspect beoordelingsproces behelst het uitvoeren van met elkaar samenhangende activiteiten over het evalueren van toegangsrechten op validiteit of deze nog voldoen aan de actuele situatie. Het aspect toegangsrechten impliceert een recht om toegang te krijgen, zoals tot een locatie of systeem.
Het is nodig om de (logische en fysieke) toegangsrechten van gebruikers regelmatig te beoordelen om de toegang tot gegevens en informatiediensten doeltreffend te kunnen beheersen. De toekenningen en wijzigingen van toegangsrechten dienen daarom periodiek gecontroleerd te worden. Hiertoe dienen maatregelen te worden getroffen in de vorm van:
* het voeren van controle-activiteiten op de registratie van toegangsrechten;
* het uitbrengen van rapportages aan het management. +
==Objectdefinitie==
Betreft een vastgelegde manier van handelen voor de evaluatie van de mate waarin beheeractiviteiten voldoen aan de vooraf gestelde eisen.
==Objecttoelichting==
De inrichting van de toegangsbeveiliging moet beheerst worden. Hiertoe dient periodiek door een bepaalde functionaris met specifieke bevoegdheden controle-activiteiten te worden verricht. Deze activiteiten dienen ondersteund te worden met procedures en instructies, anders bestaat het risico dat de resultaten van de controle-activiteiten niet voldoen aan de verwachte eisen. De structuur van de beheersingsorganisatie geeft de samenhang van de ingerichte processen weer.
Een control en de bijbehorende maatregelen worden hieronder vermeld. +
==Objectdefinitie==
Betreft systematisch ontwikkelde aanbevelingen, bedoeld om het installeren van programmatuur door eindgebruikers te beperken.
==Objecttoelichting==
Het installeren van software kan betrekking hebben op 3 type actoren:
# Gebruikers, om een bepaald type data-analyse in de business-omgeving te kunnen uitvoeren;
# Softwareontwikkelaars, voor requirementsspecificatie, het creëren van datamodellen en het genereren van de programmacode;
# Technische beheerders, voor het beheren van servers en netwerkcomponenten.
Deze BIO Thema-uitwerking is gericht op eisen die gerelateerd zijn aan het installeren van software door ontwikkelaars voor het specificeren van gebruikersrequirements. Hierbij kan gedacht worden aan het toekennen van minimale rechten aan ontwikkelaars om additionele hulpsoftware te installeren of het toekennen van rechten die gerelateerd zijn aan de regels: need-to-use, need-to-know, need-to-modify, need-to-delete. Het doel hiervan is om risico’s die gerelateerd zijn aan het onbedoeld wijzigen van kritische assets (zoals informatie, software, applicaties en system security controls) te beperken. +
==Objectdefinitie==
Betreft systematisch ontwikkelde aanbevelingen, bedoeld om het installeren van programmatuur door eindgebruikers te beperken.
==Objecttoelichting==
Voor het gebruik van software (door een beheerder) op een server zijn regels opgesteld. +
==Objectdefinitie==
Betreft regels voor het inperken van programmacode-wijzigingen aan een softwarepakket die door derden in opdracht van gebruikersorganisaties worden aangebracht.
==Objecttoelichting==
Bij voorkeur dient een geleverd softwarepakket ongewijzigd te worden toegepast. Wijzigingen van de applicatiecode die niet door de leverancier zijn aangebracht, leveren bij actualisaties van het onderliggende serverplatform en interactie met andere platformen vaak technische problemen op. Ze veroorzaken daarbij mogelijk beveiligingsrisico’s. Eventuele wijzigingen dienen onder strikte voorwaarden, met goedkeuring van de leverancier plaats te vinden. Anderzijds worden organisaties die clouddiensten gebruiken soms geconfronteerd met nieuwe versies, die ze nog niet hebben kunnen testen voordat ze in de organisatie worden toegepast.
==Schaalgrootte==
Middel en groot.
==Voor wie==
Klant en leverancier. +
==Doel==
Het bereikbaarheidsprofielbeheer geeft burgers de mogelijkheid voor het eenmalig aangeven en onderhouden van zijn bereikbaarheid en voorkeuren in contact met de overheid.
==Scope==
Bezien vanuit het gemak en herkenbaarheid voor de betrokkene, is het zeer belangrijk dat er één gemeenschappelijke plek is voor het beheren van de (digitale) bereikbaarheid, de voorkeuren en kanaaladressen. Dat voorkomt dat een burger dit op veel verschillende plekken en op telkens andere wijze moet doen. En het voorkomt ook dat dat profiel niet consistent of niet actueel is (waardoor het niet meer betrouwbaar zou zijn voor andere overheidsorganisaties).
==Afspraak==
* Gebruik van deze generieke functie is verplicht voor overheidsorganisaties.
* De verantwoordelijkheid ervoor wordt gedeeld door alle overheidsorganisaties.
* Stelselafspraken zijn nodig om de gedeelde verantwoordelijkheid voor en het gebruik van deze functie te regelen.
==Voorziening==
De overheid heeft een bereikbaarheidsprofielbeheer-voorziening waar burgers (personen die contact hebben met de overheid) gebruik van kunnen maken.
Met deze voorziening is het onder meer mogelijk dat:
# Een betrokkene geeft na authenticatie binnen zijn bereikbaarheidsprofiel aan op welk emailadres hij bepaalde berichten wil ontvangen;
# Een betrokkenen geeft na authenticatie aan via welk telefoonnummer hij bepaalde sms-notificaties wil ontvangen;
# DUO verstuurt een notificatie naar het door een betrokkenen opgegeven telefoonnummer dat er een nieuw bericht in een beveiligde omgeving beschikbaar is.
NB. Nader onderzocht moet worden in welke mate bereikbaarheidsprofielenbeheer ook voor bedrijven van toepassing is.
==GA-principes==
# GA-BP-1 Denken vanuit behoeften van “burgers en bedrijven”
# GA-BP-2 Rekening houden met diversiteit bij “burgers en bedrijven”
# GA-BP-4 Gebruik van ontkoppelde functies
==Voorbeelden==
Bij MijnOverheid.nl kan je jouw e-mail adres instellen voor berichten en notificaties.
==Status==
Medio 2020 is via een pressure-cooker versnelling aangebracht in de oplevering van GO. Een vijftal werkgroepen heeft in 2 maanden tijd uitwerking gegeven aan:
* ‘Why’ van de GDI inclusief bijbehorende visual,
* uitgangspunten voor het vastleggen van generieke functies (capability’s),
* visies voor de domeinen Interactie, Gegevensuitwisseling, Identificatie en Authenticatie (Toegang), Machtigen en Infrastructuur.
Resultaten van de pressure cooker zijn overgedragen om mee te nemen in de Gemeenschappelijke Overheidsarchitectuur (GO). GO brengt samenhang aan, verwijdert dubbelingen en verdiept visies zodanig dat besluitvorming in de PL en (naar beoordeling door PL) in het OBDO mogelijk is. Voor het domein Interactie geldt dat bovendien nog afstemming met de beleidsomgeving moet plaatsvinden. Gegevensuitwisseling heeft nu nog een bredere scope dan GDI en zal daarom binnen de GDI-context in samenhang met andere domeinen uitgewerkt worden.
==Documentatie==
De visie uit de pressure cooker GO t.a.v. Interactie is opgenomen in het document van de werkgroep Interactie: [[media:GO_Pressure_Cooker_Interactie.pdf|GO_Pressure_Cooker_Interactie.pdf (PDF, 2,29 MB)]].
==Naamgeving==
Het visie document uit de pressure cooker gebruikt voor deze capability de naam '''Bereikbaarheidsprofielbeheer voor burgers'''
Een bericht is een afgeronde hoeveelheid informatie (met een begin en een eind), die van een verzender naar een ontvanger verstuurd wordt. +
Een voorziening waar overheidsorganisaties en bedrijven op een veilige en vertrouwelijke manier digitale berichten met elkaar kunnen uitwisselen. +
Een voorziening binnen [[MijnOverheid]] waar overheidsorganisaties op een veilige en vertrouwelijke manier digitale berichten kunnen plaatsen voor burgers die dan per email worden geïnformeerd dat er een bericht voor hen staat. +
==Objectdefinitie==
Betreft het beschermen van gegevens die gebruikt worden om aan te tonen dat een applicatie werkt volgens de vastgestelde eisen en wensen.
==Objecttoelichting==
Voor het testen van informatiesystemen wordt gebruik gemaakt van verschillende soorten gegevens. Het gebruik van operationele databases met persoonsgegevens of enige andere vertrouwelijke informatie moet worden vermeden en aangepast. Testgegevens dienen zorgvuldig te worden gekozen, beschermd en gecontroleerd. +
Diensten en de hiervoor benodigde informatie zijn op het juiste moment klaar voor gebruik. De overheidsdienstverlener zorgt voor de tijdigheid, continuïteit en robuustheid van de dienst, zodanig dat deze:
# geleverd kan worden wanneer deze nodig is;
# ook in de toekomst geleverd blijft worden;
# bestand is tegen verstoringen en aanvallen.
De overheidsdienstverlener legt daarom de vereisten over beschikbaarheid vast en evalueert deze regelmatig. De overheidsdienstverlener zorgt ervoor dat de dienst aan de verwachtingen blijft voldoen, die burgers en bedrijven redelijkerwijs mogen stellen. +
gegevens worden opgeslagen volgens duurzame normen en afhankelijk van de organisatiekeuze beschikbaar gesteld aan verschillende afnemers. Dit kan zich bijvoorbeeld uiten in technische, privacy afgeschermde, digitale, open of gesloten vormen. +
Besluit aansluiten ministeries op Digipoort voor e-factureren +
Besluit van de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 12 juli 2022, tot wijziging van het Instellingsbesluit Sturing Digitale Overheid in het kader van de introductie van een meerjarenprogrammering op de generieke digitale infrastructuur. +
Besluit verwerking persoonsgegevens Generieke Digitale Infrastructuur +
Bestandsleveringen van de verschillende BRT-datasets.
Via PDOK:
* [http://www.kadaster.nl/web/artikel/productartikel/TOP10NL.htm TOP10NL] (voor schaalniveau’s tussen 1:5.000 en 1:25.000) wordt geleverd in bestandsformaten GML.
* [http://www.kadaster.nl/web/artikel/productartikel/TOPvector.htm TOPvector] (voor schaalniveau’s tussen 1:25.000 en 1:250.000) wordt geleverd in de bestandsformaten DGN, DXF en Shape.
* [http://www.kadaster.nl/web/artikel/productartikel/TOPgrenzen.htm TOPgrenzen] wordt geleverd in de bestandsformaten DGN en Shape.
* [http://www.kadaster.nl/web/artikel/productartikel/TOPnamen.htm TOPnamen] wordt geleverd in de bestandsformaten GDB, Dbase of Excel.
(Datasets alleen voor geheel Nederland of deelgebied) +
Orgaan van een rechtspersoon krachtens publiekrecht ingesteld" (a-orgaan), of "een persoon of college, met enig openbaar gezag bekleed" (b-orgaan). +
De overtuiging dat ‘beter voor de gebruiker en goedkoper voor de organisatie’ samen gaan wanneer het gebruikersperspectief centraal staat, is nog onvoldoende gemeengoed voor zowel veel professionals in het veld als voor bestuurders.<br>
Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft daarom onderzoek laten doen om dit vernieuwde vertrekpunt feitelijk en breed te onderbouwen. Hiertoe zijn 11 cases van publieke organisaties verzameld en bestudeerd. Kenmerk van deze cases is dat vanuit het gebruikersperspectief verbeteringen zijn doorgevoerd in de dienstverleningsprocessen. De cases uit deze studie vormen een bevestiging van de veronderstelling dat meer kostenefficiëntie ontstaat nadat de dienstverlening is verbeterd, op voorwaarde dat het gebruikersperspectief (wensen van gebruikers en hun suggesties voor verbetering) leidend is geweest voor de inrichting van de dienstverleningsprocessen. <br>
Dit is daarom een pleidooi tegen een puur efficiency gedreven aanpak en vóór een aanpak om met inschakeling van gebruikers te streven naar betere dienstverlening. +
De beschikbaarheid en de kwaliteit van diensten voldoen aan vooraf bepaalde normen. Aangeboden informatie dient bijvoorbeeld juist, authentiek, actueel en volledig te zijn. Processen zijn zodanig ingericht dat dit is gegarandeerd en monitoring van het kwaliteitsniveau plaatsvindt. +
In haar dienstverlening zegt de overheid wat ze doet en doet wat ze zegt. Burgers en bedrijven kunnen uitgaan van een betrouwbare en voorspelbare overheid. Zij kunnen vertrouwen dat informatie tijdig wordt verstrekt en dat deze correct, compleet en actueel is.
De kwaliteit van diensten voldoet aan vooraf bepaalde normen. De monitoring en verantwoording hierop, alsmede de verbeteringen die hieruit voortvloeien zijn verankerd in de overheidsprocessen. Deze worden zo continu verbeterd. +
De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid. +
De mate waarin de organisatie zich voor de informatievoorziening kan verlaten op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is daarmee de verzamelterm voor de begrippen beschikbaarheid, integriteit en vertrouwelijkheid. +
Mate waarin vertrouwen kan worden gesteld in een identificatiemiddel, gebaseerd op de mate van zekerheid waarmee attributen, identiteiten, identificatiemiddelen en/of bevoegdheden zijn vastgesteld. +