Eigenschap:Beschrijving

Objecten worden geïdentificeerd met onderzoeksvragen en risicogebieden. De objecten zijn afgeleid vanuit de optiek van de kwaliteitscriteria: Beschikbaarheid, Integriteit, Vertrouwelijkheid en Controleerbaarheid (BIVC), die vervolgens zijn ingedeeld in het beleids-, uitvoerings- en control-domein. De vragen die hierbij een rol hebben gespeeld zijn: # Welke randvoorwaardelijke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? # Welke elementen spelen een rol bij de inrichting van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? # Welke elementen spelen een rol bij de beheersing van toegangsbeveiliging vanuit de optiek van BIVC en wat is de consequentie bij afwezigheid? Afbeelding 'Schematische weergave componenten toegangsbeveiliging in drielagenstructuur' geeft de positionering weer van toegangsbeveiligingselementen binnen het uitvoeringsdomein. Deze elementen geven een verband van elementen die binnen de organisatieonderdelen een rol spelen. De elementen kunnen direct of indirect voorkomen als beveiligingsobjecten. [[Afbeelding:Thema Toegangsbeveiliging - Schematische weergave van de componenten van het logische toegangsbeveiliging systeem in een 3-lagenstructuur.png|thumb|600px|none|alt=” Schematische weergave componenten toegangsbeveiliging in drielagenstructuur”|Schematische weergave componenten logische toegangsbeveiliging in drielagenstructuur]] ==Globale relaties tussen geïdentificeerde beveiligingsobjecten== De [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]] is ingedeeld met de hoofdstukindeling van de [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO 27002]]. Bij het ontwikkelen van een BIO Thema-uitwerking, zoals de toegangsbeveiliging, is het noodzakelijk om na te gaan uit welke onderdelen (objecten) de omgeving van toegangsbeveiliging precies bestaat. Zonder een beeld over de samenhang tussen de objecten is het lastig om de normen in de juiste samenhang uit de BIO te selecteren. Afbeelding 'Schematische weergave van de componenten van logische toegangsbeveiliging in een drielagenstructuur' geeft een voorbeeld van de betrokken onderdelen uit de business en ICT-omgeving waar een organisatie over het algemeen mee te maken hebben. Deze onderdelen kunnen gerelateerd zijn aan de beveiligingsobjecten in een toegangsbeveiligingsomgeving. Toegangsbeveiliging omvat het geheel van actoren, beleid, richtlijnen, procedures, processen, registratiesystemen voor een vertrouwd en betrouwbaar gebruik van informatiesystemen. De essentiële onderdelen van toegangsbeveiliging worden in onderstaande figuur weergegeven. De onderdelen zijn hieronder toegelicht met de domeinen (beleid, uitvoering en control) waarin deze voorkomen. ===Beleidsdomein=== Het beleidsdomein bevat algemene conditionele elementen voor de inrichting van de toegangsbeveiliging zoals toegangsbeleid. Het bevat ook andere conditionele en randvoorwaardelijke aspecten die van toepassing zijn op het uitvoeringsdomein en het control-domein. Het bevat over het algemeen de objecten: beleid, cryptografie, organisatiestructuur en architectuur. ===Uitvoeringsdomein=== Het uitvoeringsdomein omvat verschillende organisatieonderdelen die betrokken zijn bij de inrichting van de toegangsbeveiliging. Toegangsbeveiliging is een continu proces die de samenwerking van deze bedrijfsonderdelen nodig heeft. Deze bedrijfsonderdelen zijn gezamenlijk verantwoordelijk voor de juiste inrichting van de beveiligingsobjecten over toegangsbeveiliging. De betrokken organisatieonderdelen zijn onder andere: *Personeelsafdeling, De personeelsafdeling zorgt ervoor dat medewerkers in het personeelsregistratiesysteem worden opgenomen en zorgt, in samenwerking met business, dat vanuit een organisatorische en procedurele invalshoek elementen worden vastgelegd. De van belang zijnde elementen zijn: gegevens/proceseigenaar, gebruiker, rol, profiel en taak. De relatie tussen deze elementen kan gelezen worden als: ** Een gebruiker heeft een rol. ** Met deze rol wordt zijn profiel bepaald. ** Met zijn profiel worden de rechten bepaald waarmee hij zijn taak kan uitvoeren. * ICT afdeling, De ICT-afdeling zorgt voor ICT-voorzieningen en de geautoriseerde toegang tot benodigde applicaties en het authenticatiemiddel. Dit wordt vastgelegd in termen van identificatie, authenticatie en autorisatie. Er zijn verschillende typen gebruikers: eindgebruikers (remote-gebruikers) en beheerders. Deze gebruikers moeten aan specifieke toegangseisen voldoen. De gebruikersgegevens, de rollen en profielen worden vastgelegd in registratiesystemen. In dit geval zijn er drie registratiesystemen vermeld. In de praktijk is dit afhankelijk van het type organisatie. Er zijn ook registraties die worden gebruikt voor analysedoeleinden. *Facilitair Bedrijf, Het Facilitair bedrijf zorgt voor een fysieke toegang tot terreinen, gebouwen en ruimten met een toegangsmiddel. Hierbij ontvangen de medewerkers bijvoorbeeld een toegangspas (is een identificatiemiddel). ===Control-domein=== Het control-domein bevat evaluatie-, meet- en beheersingsaspecten waarmee toegangsbeveiliging wordt beheerst en bijgestuurd. Het vervult hiermee een control-functie die kort en lang cyclisch van aard kunnen zijn. Dit domein bevat beheersprocessen, zoals de Information Technology Infrastructure Library (ITIL)-processen, die noodzakelijk zijn voor de beheersing van de configuraties van IT-componenten en de instandhouding van het beveiligingsniveau. De informatie uit de evaluaties en de beheerprocessen is niet alleen gericht op het bijsturen en/of aanpassen van het eerder geformuleerde beleid maar ook op implementatie van de toegangsbeveiliging. In Afbeelding 'Schematische weergave van de componenten van logische toegangsbeveiliging in een drielagenstructuur' wordt de hiervoor uitgelegde domeinenstructuur geïllustreerd. De domeinindeling is verder uitgewerkt in de pagina [[ISOR:BIO Thema Toegangsbeveiliging Control|Control-domein]]. Gevirtualiseerde systeemomgevingen zien er qua systeemtopologie geheel anders uit, maar de basiselementen voor de toegang zijn dezelfde.  

BIO Thema-uitwerking Toegangsbeveiliging geeft overheidsorganisaties een beeld van de meest relevante onderwerpen die een rol spelen bij het inrichten en beveiligen van toegangsvoorzieningen. Dit document is geënt op controls uit best practices zoals: [[BIO (Baseline Informatiebeveiliging Overheid)|Baseline Informatiebeveiliging Overheid (BIO)]], [[NEN-EN-ISO/IEC 27001:2017 (Managementsystemen voor informatiebeveiliging - Eisen)|NEN-EN-ISO/IEC 27001:2017]] (hierna genoemd ISO 27001) en [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|NEN-ISO/IEC 27002: 2017]] (hierna genoemd ISO 27002), [[The Standard of Good Practice for Information Security 2018|the Standard of Good Practice (SoGP) 2018]] en de [[NIST (National Institute of Standards and Technology)|National Institute of Standards and Technology (NIST)]]. ==Opzet BIO Thema-uitwerking== In deze BIO Thema-uitwerking zijn de objecten geïdentificeerd die een rol spelen bij toegangsbeveiliging. De objecten zijn ingedeeld in de domeinen Beleid, Uitvoering en Control (BUC), en daarbinnen naar een viertal invalshoeken. Deze objecten vormen de verschillende inhoudelijke onderwerpen van toegangsbeveiliging. Ze zijn in het document verder uitgewerkt naar controls en onderliggende maatregelen. Deze thema-uitwerking volgt de standaard opzet voor [[Alle normenkaders|BIO Thema-uitwerkingen]]: # Scope en begrenzing van de thema-uitwerking (zie [[BIO Thema Toegangsbeveiliging/Inleiding#Scope en begrenzing van toegangsbeveiliging|Scope en begrenzing van toegangsbeveiliging]]); # Context en globale structuur van de thema-uitwerking (zie [[BIO Thema Toegangsbeveiliging/Inleiding#Context en globale structuur toegangsbeveiliging|Context en globale structuur toegangsbeveiliging]]); # Globale relaties tussen de geïdentificeerde beveiligingsobjecten (zie [[BIO Thema Toegangsbeveiliging/Objecten voor toegangbeveiliging#Globale relaties tussen de geïdentificeerde beveiligingsobjecten|Globale relaties tussen de geïdentificeerde beveiligingsobjecten]]); ==Scope en begrenzing toegangsbeveiliging== De uitwerking van logische toegangsbeveiliging is in deze BIO Thema-uitwerking gericht op identificatie, authenticatie en autorisatie van (interne en externe) medewerkers. De uitwerking van fysieke beveiliging is in deze thema-uitwerking gericht op de fysieke toegang tot terreinen, gebouwen en ruimten (bijvoorbeeld rekencentra). Specifieke apparaat-gebonden mechanismen voor toegangsbeveiliging, zoals toegang tot besturingssystemen, netwerken, mobiele computers en telewerken vallen buiten de scope van deze thema-uitwerking. De begrenzing van deze BIO Thema-uitwerking is in afbeelding 'Relatie BIO Thema-uitwerking Toegangsbeveiliging met aanpalende documenten' weergegeven. [[Bestand:TBV Relatie BIO Thema-uitwerking met aanpalende documenten.png|thumb|500px|none|alt=”Relatie BIO Thema-uitwerking met aanpalende documenten”|Relatie BIO Thema-uitwerking Toegangsbeveiliging met aanpalende documenten]] ==Context en globale structuur toegangsbeveiliging== Informatiesystemen maken gebruik van cruciale data van de organisatie zelf en van derden. Deze informatiesystemen moeten worden beveiligd en beheerst om het risico van inbreuk, misbruik en (data)diefstal te mitigeren. Toegangsbeveiliging speelt hierbij een cruciale rol. Toegangsbeveiliging richt zich op informatiesystemen (logische toegangsbeveiliging) en op gebouwen en ruimten waarin medewerkers gehuisvest zijn (fysieke toegangsbeveiliging). Logische toegangsbeveiliging omvat het geheel van richtlijnen, procedures, beheersingsprocessen en faciliteiten die noodzakelijk zijn voor het verschaffen van toegang tot informatiesystemen, besturingssystemen, netwerken, mobiele apparaten en telewerken van een organisatie. Fysieke toegangsbeveiliging omvat het geheel van richtlijnen, procedures, beheersingsprocessen en systemen die noodzakelijk zijn voor het verschaffen van fysieke toegang tot terreinen, gebouwen en ruimten. [[Bestand:TBV Globale opzet logische en fysieke toegangsbeveiliging.png|thumb|500px|none|alt=”Globale opzet logische en fysieke toegangsbeveiliging”|Globale opzet logische en fysieke toegangsbeveiliging]]  

'''De toegangsbeveiligingsobjecten in de drie domeinen Beleid, Uitvoering en Control in een oogopslag''' <br> [[Bestand:TBV Overzicht objecten voor toegangsbeveiliging in het beleidsdomein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het beleidsdomein”|Afbeelding 10: Toegangsbeveiligingsobjecten binnen het beleidsdomein]] [[Bestand:TBV Overzicht objecten voor toegangsbeveiliging in het uitvoeringsdomein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het uitvoeringsdomein”|Afbeelding 11: Toegangsbeveiligingsobjecten binnen het uitvoeringsdomein]] [[Bestand:TBV Overzicht objecten voor toegangsbeveiliging in het control-domein.png|thumb|500px|none|alt=”Overzicht van objecten gerelateerd aan SIVA basiselementen in het control-domein”|Afbeelding 12: Toegangsbeveiligingsobjecten binnen het control-domein]]  +

Voor zowel interne als externe medewerkers hanteer voor de inrichting en evaluatie van voorzieningen voor toegangsbeveiliging de volgende fasering (zie afbeelding 'Relaties richtlijnen tussen in-, door- en uitstroom): * Indiensttreding (instroom), In deze fase gelden algemene en specifieke richtlijnen voor de taken en verantwoordelijkheden van de werkgever en de werknemer. De werkgever zal in de fase, na een zorgvuldige selectieprocedure, de noodzakelijke zaken voor de werknemer moeten regelen. * Tijdens dienstverband (doorstroom), In deze fase worden werknemers, afhankelijk van hun functie, via trainingen en opleidingen bewust gemaakt van het omgaan met bedrijfsmiddelen (onder andere bedrijfsgegevens) en hoe zij moeten omgaan met aspecten van informatiebeveiliging. * Uitdiensttreding (uitstroom), In deze fase treft de werkgever de noodzakelijke maatregelen voor het beëindigen van het dienstverband. De werknemer zal de aan hem verstrekte bedrijfsmiddelen volgens afgesproken procedure moeten inleveren. [[Afbeelding:Thema Toegangsbeveiliging - De relaties tussen de drie fases.png|thumb|550px|none|alt=” Relaties tussen de drie fases”|Relaties richtlijnen tussen in-, door- en uitstroom]] ==Indiensttreding nieuwe medewerkers== Met het verstrekken van de aanstellingsbeschikking komt een medewerker, aangenomen door een manager, in dienst. Bij indiensttreding ontvangt de medewerker een toegangspas waarmee hij toegang krijgt tot het terrein, gebouw en de bij de functie horende ruimtes (fysieke toegangsbeveiliging). Naast de fysieke ruimtes krijgt de medewerker ook toegang tot logische ruimtes, ofwel: de persoonlijk en gemeenschappelijke gegevensverzamelingen en tot de algemene kantoorautomatiseringsomgeving, zoals de KA- of de Front-Office omgeving en specifieke applicaties. Voor de werkzaamheden binnen de specifieke applicaties kan hij weer algemene en specifieke rechten krijgen. Achter de schermen worden heel wat stappen gezet om deze nieuwe medewerker daadwerkelijk in te voeren als een actieve functionaris. Hierbij zijn verschillende afdelingen betrokken zoals: * De Personeelsafdeling (of Human Resource Management) zorgt daarbij voor invoering van de nieuwe medewerker in het personeelsbestand. * De Facilitaire dienst of Facilitair bedrijf zorgt voor een fysieke werkplek (bureau, stoel etc.) en maakt een toegangspas aan (= identificatiemiddel). * De Gegevens-/Proceseigenaar zorgt voor mandaatregister waaruit blijkt welke personen bevoegd zijn voor uitvoering van welke taken (autorisaties). * De ICT-afdeling zorgt voor ICT-voorzieningen misschien en de geautoriseerde toegang tot benodigde applicaties evenals het authenticatiemiddel (zoals een toegangspas). Deze stappen staan niet los van elkaar. Zij dienen namelijk één gemeenschappelijk doel: het bieden van geautoriseerde toegang en daarvoor zijn meerdere gegevens van de medewerker en meerdere acties vanuit de organisatie nodig om de benodigde zaken te regelen om de medewerker in de positie te stellen voor het uitvoeren van zijn taken. Omgekeerd zal de medewerker kennis moeten nemen van de missie/visie van de organisatie en van haar informatiebeveiligingsbeleid. Afbeelding 'Processtappen en acties bij de indiensttreding van een medewerker' geeft een beeld van de processtappen bij de indiensttreding (instroom) van een medewerker. [[Afbeelding:Thema Toegangbeveiliging - Processtappen en acties bij de indiensttreding (instroom) van een medewerker.png|thumb|750px|none|alt=”Processtappen en acties bij de indiensttreding (instroom) van een medewerker”|Processtappen en acties bij indiensttreding van een medewerker]] Nadat de processtappen en acties bij de indiensttreding van de medewerker zijn doorlopen, is de medewerker geïdentificeerd. De medewerker (gebruiker) bezit dan de nodige middelen, een fysiek toegangsbewijs voor toegang tot terreinen, gebouwen en ruimtes van de organisatie in de vorm van een toegangspas en een logisch toegangsbewijs in de vorm van een account voor toegang tot Informatievoorzieningen (IV) faciliteiten. Na het met de inloggegevens (identificatie/accountnaam en authenticatie) inloggen, krijgt de gebruiker toegang tot applicaties. Aan het account, het identificatiebewijs van de gebruiker, zijn toegangsrechten (autorisaties) gekoppeld. Autorisatie (profiel) komt tot stand met de rol van de gebruiker en geeft hem het recht bepaalde taken in de applicatie uit te voeren. Bij doorstroom is er sprake van wijzigingen van de toegangsgegevens (identificatie, authenticatie en autorisatie). Bij uitstroom is er sprake van blokkering van deze gegevens. De persoonlijke gegevens van de gebruiker zijn opgeslagen in het personeelssysteem, de rol en het profiel zijn opgeslagen in het autorisatiesysteem. De profielen en de taken zijn op hun beurt weer opgeslagen in het informatiesysteem. Afbeelding 'Schematische weergave autorisatieproces in de domeinen' geeft hiervan een overzicht. [[Afbeelding:Thema Toegangbeveiliging - Het autorisatieproces.png|thumb|750px|none|alt=” Het autorisatieproces”|Schematische weergave autorisatieproces in de domeinen]] ==Tijdens het dienstverband== Tijdens het dienstverband heeft de medewerker (gebruiker) toegang tot de informatiesystemen door de bij de indiensttreding verkregen middelen en toegangsrechten. Daarvoor moeten fysieke toegangssystemen, authenticatiesystemen en autorisatiesystemen worden ingericht. Tijdens het dienstverband kunnen werkzaamheden van medewerkers worden gewijzigd en of op een andere functie/project worden geplaatst. Er kan ook sprake zijn van een (tijdelijke) overplaatsing. Dan zullen de nodige wijzigingen in functieprofielen (autorisatie) en taakrollen in het registratiesysteem worden doorgevoerd. De oorspronkelijke functie dient dan te worden gedeactiveerd en de toegangsrechten worden aangepast, geblokkeerd of verwijderd. ==Uitdiensttreding== Uiteindelijk kan een medewerker door bepaalde redenen uit dienst treden. Dit houdt in dat bepaalde gegevens van de medewerkers dienen te worden geregistreerd en autorisaties voor het gebruik van applicaties moeten worden verwijderd. <br><br> : → [[ISOR:Autorisatieproces|Ga terug naar U.04 Autorisatieproces]]  

De BIO Thema-uitwerking Applicatieontwikkeling, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen ([[CIP (Centrum Informatiebeveiliging en Privacybescherming)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]]). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’. ==Considerans== CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact]. ==Leeswijzer== Voorafgaand aan het [[ISOR:BIO Thema Applicatieontwikkeling Beleid|Beleidsdomein]], [[ISOR:BIO Thema Applicatieontwikkeling Uitvoering|Uitvoeringsdomein]] en [[ISOR:BIO Thema Applicatieontwikkeling Control|Control-domein]], de kern van dit thema, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Applicatieontwikkeling/Inleiding|inleiding]] met een standaard paragraafindeling. De volgende leeswijzer geldt voor dit normenkader: *Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht. *De controls, hierna genoemd criteria, en maatregelen, hierna genoemd normen, vermeld in dit normenkader zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is. *Van best practices (open standaarden al dan niet toegankelijk met een licentie), zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is. *Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.  

De BIO Thema-uitwerking Clouddiensten, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen ([[CIP (Centrum Informatiebeveiliging en Privacybescherming)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]]). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’. ==Considerans== CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact]. ==Leeswijzer== Voorafgaand aan het [[ISOR:BIO Thema Clouddiensten Beleid|beleidsdomein]], [[ISOR:BIO Thema Clouddiensten Uitvoering|uitvoeringsdomein]] en [[ISOR:BIO Thema Clouddiensten Control|control-domein]], de kern van dit document, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Clouddiensten/Inleiding|inleiding]] met een standaard paragraafindeling. Aanvullend geldt: * Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht. * De controls en maatregelen vermeld in deze thema-uitwerking zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is. * Van best practices (open standaarden al dan niet toegankelijk met een licentie) zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is. * Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.  

De BIO Thema-uitwerking Communicatievoorzieningen, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen [[Centrum Informatiebeveiliging en Privacybescherming (CIP)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]]. De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 van dit normenkader gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’. ==Considerans== CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact]. ==Leeswijzer== Voorafgaand aan het [[ISOR:BIO Thema Communicatievoorzieningen Beleid|beleidsdomein]], [[ISOR:BIO Thema Communicatievoorzieningen Uitvoering|uitvoeringsdomein]] en [[ISOR:BIO Thema Communicatievoorzieningen Control|control-domein]], de kern van dit thema, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Communicatievoorzieningen/Inleiding|inleiding]] met een standaard paragraafindeling. De volgende leeswijzer geldt voor dit normenkader: *Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht. *De controls, hierna genoemd criteria, en maatregelen, hierna genoemd normen, vermeld in dit normenkader zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is. *Van best practices (open standaarden al dan niet toegankelijk met een licentie), zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is. *Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.  

De BIO Thema-uitwerking Huisvesting informatievoorzieningen, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen [[Centrum Informatiebeveiliging en Privacybescherming (CIP)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]]. De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 van dit normenkader gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’. ==Considerans== CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact]. ==Leeswijzer== Voorafgaand aan het [[ISOR:BIO Thema Huisvesting Informatievoorziening Beleid|beleidsdomein]], [[ISOR:BIO Thema Huisvesting Informatievoorziening Uitvoering|uitvoeringsdomein]] en [[ISOR:BIO Thema Huisvesting Informatievoorziening Control|control-domein]], de kern van dit thema, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Huisvesting Informatievoorziening/Inleiding|inleiding]] met een standaard paragraafindeling. De volgende leeswijzer geldt voor dit normenkader: *Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht. *De controls, hierna genoemd criteria, en maatregelen, hierna genoemd normen, vermeld in dit normenkader zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is. *Van best practices (open standaarden al dan niet toegankelijk met een licentie), zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is. *Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.  

De BIO Thema-uitwerking Serverplatform, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen ([[CIP (Centrum Informatiebeveiliging en Privacybescherming)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]]). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’. ==Considerans== CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact]. ==Leeswijzer== Voorafgaand aan het [[ISOR:BIO Thema Serverplatform Beleid|beleidsdomein]], [[ISOR:BIO Thema Serverplatform Uitvoering|uitvoeringsdomein]] en [[ISOR:BIO Thema Serverplatform Control|control-domein]], de kern van dit thema, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Serverplatform/Inleiding|inleiding]] met een standaard hoofdstukindeling. De volgende leeswijzer geldt voor dit normenkader: *Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht. *De controls en maatregelen vermeld in deze thema-uitwerking zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is. *Van best practices (open standaarden al dan niet toegankelijk met een licentie) zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is. *Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.  

De BIO Thema-uitwerking Softwarepakketten, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen ([[CIP (Centrum Informatiebeveiliging en Privacybescherming)|Centrum Informatiebeveiliging en Privacybescherming (CIP)]]). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 1.0 en 1.2 van dit normenkader gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’. ==Considerans== CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact]. ==Leeswijzer== Voorafgaand aan het [[Softwarepakketten Beleid|beleidsdomein]], [[Softwarepakketten Uitvoering|uitvoeringsdomein]] en [[Softwarepakketten Control|control-domein]], de kern van dit thema, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Softwarepakketten - Inleiding|inleiding]] met een standaard paragraafindeling. De volgende leeswijzer geldt voor dit normenkader: *Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht. *De controls, hierna genoemd criteria, en maatregelen, hierna genoemd normen, vermeld in dit normenkader zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is. *Van best practices (open standaarden al dan niet toegankelijk met een licentie), zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is. *Voor een overzicht van alle gebruikte best practices, afkortingen en begrippen en een generieke toelichting op de opzet van de thema-uitwerkingen, zie de Structuurwijzer BIO Thema-uitwerkingen.  

De BIO Thema-uitwerking Toegangsbeveiliging, hierna genoemd normenkader, is opgesteld door Wiekram Tewarie ([[UWV (Uitvoeringsinstituut Werknemersverzekeringen)|Uitvoeringsinstituut Werknemersverzekeringen (UWV)]]) en Jaap van der Veen ([[Centrum Informatiebeveiliging en Privacybescherming (CIP)|Centrum Informatiebeveiliging en Privacybescherming(CIP)]]). De opdrachtgever is de directeur CIP. Professionals uit het CIP-netwerk en het CIP-kernteam hebben versie 1.0 gereviewd. Het CIP-kernteam heeft versie 2.0 en 2.1 van dit normenkader gereviewd. Zodoende valt dit normenkader in het regime ‘becommentarieerde praktijk’. ==Considerans== CIP-producten steunen op kennis van professionals uit verschillende organisaties actief in het CIP-netwerk, zowel uit de overheid als de markt. Opmerkingen en aanvullingen kun je melden op [https://www.cip-overheid.nl/contact/ cip-overheid.nl/contact]. ==Leeswijzer== Voorafgaand aan het [[ISOR:BIO Thema Toegangsbeveiliging Beleid|beleidsdomein]], [[ISOR:BIO Thema Toegangsbeveiliging Uitvoering|uitvoeringsdomein]] en [[ISOR:BIO Thema Toegangsbeveiliging Control|control-domein]], de kern van dit thema, heeft [[Alle normenkaders|elke BIO Thema-uitwerking]] een [[BIO Thema Toegangsbeveiliging/Inleiding|inleiding]] met een standaard paragraafindeling. De volgende leeswijzer geldt voor dit normenkader: *Voor de aanduiding van personen wordt de mannelijke vorm aangehouden (hij/hem/zijn) ongeacht het geslacht. *De controls en maatregelen vermeld in deze thema-uitwerking zijn in het beleids-, uitvoerings- en control-domein georganiseerd, waarmee ze bij de overeenkomstige functionarissen kunnen worden geadresseerd. Deze functionarissen zijn niet benoemd omdat dit organisatie-afhankelijk is. *Van best practices (open standaarden al dan niet toegankelijk met een licentie) zijn de meest actuele versies afgekort vermeld, tenzij de actuele versie niet toereikend is.  +

De BIR is een gemeenschappelijk normenkader voor de beveiliging van de informatie(systemen). De BIR 2017 is volledig gebaseerd op de internationale norm [[NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)|ISO/IEC 27002]]. Het concretiseert een aantal eisen tot verplichte operationele afspraken (rijksmaatregelen), om een eenduidig minimumniveau van beveiliging voor gegevens te garanderen. De standaard basisbeveiligingsniveaus (BBN's) met bijbehorende beveiligingseisen maken risicomanagement eenvoudiger.  +

Een indeling die binnen de informatiebeveiliging wordt gehanteerd, waarbij de Beschikbaarheid (continuïteit), de Integriteit (betrouwbaarheid) en de Vertrouwelijkheid (exclusiviteit) van informatie en systemen wordt aangegeven.  +

BLAU zal bestaan uit een kernset van de gegevens uit de huidige Polisadministratie van het UWV. De polisadministratie is reeds operationeel en gevuld. Zij het niet met de wettelijke status van een basisregistratie (de planning van de Polisadministratie is daarom niet opgenomen in de releasekalender). Gegevens uit de Polisadministratie kunnen echter wel geleverd worden aan overheidsorganisaties (voor zover wetgeving dat toestaat). Wat betreft planning (primo 2018) bevindt BLAU zich nog in een pril stadium. Er is nog geen besluit genomen of de basisregistratie BLAU onwikkeld wordt.  +

BLOG Expertgroep Dienstverlening: het spanningsveld en wat doen we fout?  +

Een standaard model voor het beheer en ontwikkelen van open standaarden. Dit model is ook toe te passen voor (referentie)architecturen, afsprakenstelsels en voorzieningen.  +

Authentieke bron voor inkomensgegevens van personen die met Nederland te maken hebben.  +

Authentieke bron voor percelen, eigendom, hypotheken, beperkte rechten (zoals recht van erfpacht, opstal en vruchtgebruik) en leidingnetwerken, alsmede kadastrale kaarten met perceel, perceelnummer, oppervlakte, kadastrale grens en de grenzen van het Rijk, de provincies en gemeenten in Nederland.  +

Deze te downloaden koppeltabel biedt de relatie tussen BAG-verblijfsobjecten en het bijbehorende kadastrale perceel. [http://www.kadaster.nl/web/Themas/Registraties/BAG/BAGartikelen/BRKBAG-koppeling.htm BRK-BAG koppeltabel op website Kadaster]  +

Bestandslevering van de BRK. Integreert administratieve en geografische gegevens. Leverbaar als eenmalige standlevering, dagelijkse mutatielevering. Filtering mogelijk op gemeente, gebied en subject. Downloadservice. * [http://www.kadaster.nl/web/artikel/BRK-Levering-2/BRK-Levering-1.htm BRK Levering op website Kadaster] Verwerkingstermijn: maximaal 15 werkdagen.  +

Bestandslevering van de BRK. Integreert administratieve en geografische gegevens. Leverbaar als eenmalige standlevering, periodieke standlevering. Filtering mogelijk op gemeente, gebied en subject. Downloadservice. Verwerkingstermijn: maximaal 15 werkdagen. * [http://www.kadaster.nl/web/Themas/Registraties/BRK.htm BRK Levering op website Kadaster]  +

Authentieke bron voor geo-informatie in Nederland: gegevens en modellen over de ondergrond (bodem, geologie, grondwater, mijnbouw).  +

Authentieke bron voor persoonsgegevens van burgers en van buitenlanders die met Nederland te maken hebben.  +

Authentieke bron voor geo-informatie in Nederland: topografische gegevens.  +

Authentieke bron voor gegevens over voertuigen in Nederland en de eigenaren daarvan.  +

Met BSI-Standard 200-2 biedt [[BSI (Bundesamt für Sicherheit in der Informationstechnik)|Bundesamt für Sicherheit in der Informationstechnik (BSI)]] een methodologie voor effectief beheer van informatiebeveiliging. Dit kan worden aangepast aan de eisen van organisaties van verschillende soorten en maten. In BSI-Standard 200-2 wordt dit geïmplementeerd via de drie methodieken: # Standard Protection # Basic Protection # Core Protection  +

Het onderwerp bedrijfscontinuïteitsbeheer (BCM) is al jaren stevig verankerd in IT-Grundschutz en biedt met de vorige BSI-standaard 100-4 een gefundeerde ondersteuning voor calamiteitenbeheer. De voortdurende ontwikkelingen en ervaringen op het gebied van BCM, emergency management en (IT) crisismanagement, evenals de gerelateerde BSI-standaarden voor informatiebeveiliging, hebben de noodzaak aangetoond om de BSI Standard 100-4 fundamenteel te moderniseren. De BSI 200-4 biedt praktische instructies voor het opzetten en opzetten van een Business Continuity Management Systeem (BCMS) in uw eigen organisatie. Op deze manier maakt het vooral onervaren BCM-gebruikers een gemakkelijke introductie tot het onderwerp mogelijk. Voor ervaren BCM-gebruikers wordt een normatieve catalogus van eisen ter beschikking gesteld. Er is momenteel geen certificering voor de standaard gepland. Na de Community Draft-fase tot 30 juni 2021 zullen alle opmerkingen dienovereenkomstig worden bekeken en verwerkt.  +

Burgerlijk wetboek, boek 3: vermogensrecht  +

Citeren, vinden en verbinden van wet- en regelgeving gaat door toepassing van de BWB standaard sneller, eenvoudiger en geeft minder kans op fouten. Gebruik van de standaard biedt daardoor verbetering van interoperabiliteit. De open standaard BWB biedt een eenduidige manier van verwijzen naar (onderdelen van) wet- en regelgeving. De laatste versie (versie 1.3.1) maakt het mogelijk om in wet- en regelgeving te kunnen verwijzen naar: * taalversies en onderdelen van internationale verdragen, * wet- en regelgeving waarvan de indeling niet voldoet aan de gebruikelijke nummering van hoofdstukken en paragrafen, en * ruime begrippen zoals “enig artikel”. De drie Juriconnect standaarden BWB, ECLI en JCDR zijn gericht op standaardisatie van identificatie met het doel om de geïdentificeerde inhoud te delen. De standaard BWB (Basis Wetten Bestand) is gericht op verwijzing naar geconsolideerde wet- en regelgeving. Voor verwijzing naar wet- en regelgeving of onderdelen daarvan in wetten.overheid.nl, is aan elke regeling een uniek identificatienummer (BWBID) toegekend. De Juriconnect standaard voor BWB beschrijft hoe deze verwijzing wordt vormgegeven. Nota bene: op de website van Juriconnect wordt de BWB standaard ook wel aangeduid als de standaard "logische links naar wetgeving". De standaard JCDR (Juriconnect Decentrale Regelgeving) is gericht op identificatie van en verwijzing naar geconsolideerde decentrale regelgeving. Elke overheid legt een collectie algemeen verbindende voorschriften aan met de teksten van verordeningen en keuren, waarin de later vastgestelde wijzigingen zijn verwerkt (geconsolideerde vorm). Deze collectie is de Centrale Voorziening Decentrale Regelgeving (CVDR). De Juriconnect standaard voor decentrale voorzieningen beschrijft hoe dient te worden verwezen naar documenten die in CVDR zijn opgeslagen. De ECLI standaard (European Case Law Identifier) is gericht op identificatie voor citatie in het juridische domein. De ECLI is een Europese standaard notatie voor het uniek identificeren van jurisprudentie, met een sterke basis en input vanuit LJN (Landelijk Jurisprudentie Nummer). De standaard beschrijft de wijze waarop, met behulp van een Uniform Resource Identifier (URI), kan worden verwezen naar een European Case Law Identifier.  

Vanwege de naderende expiratiedatum van de huidige overeenkomst is deze aanbesteding opgestart. Het doel van de aanbesteding is het sluiten van een Overeenkomst met één dienstverlener op het gebied van afdrukdiensten inclusief dienstverlening. De aanbesteding betreft een "all-in" dienst waaronder naast de fysieke beschikbaarstelling van de hard- en software sprake is van ondersteuning van de afdelingen ICT en Support Office. De intentie is dat de Overeenkomst op 1 oktober 2020 in gaat.  +

The purpose of the Tendering Process is to conclude an Agreement with one (1) service provider for services regarding a payment factory, including SWIFT services. The intention is for the Agreement to commence on 1 February 2021. (Het doel van het aanbestedingsproces is om een overeenkomst af te sluiten met één (1) dienstverlener voor diensten met betrekking tot uitvoering van het betalingsverkeer, inclusief SWIFT diensten. Het is de intentie om de overeenkomst op 1 februari 2021 in te laten gaan.)  +

Rijksportaal is het Rijksbrede intranet voor Rijksambtenaren bij alle ministeries. Het is dé digitale toegangspoort tot informatie, kennis en dienstverlening die Rijksmedewerkers ondersteunen in hun werkzaamheden. Het is bedoeld voor kerndepartementen en uitvoeringsorganisaties van de Rijksoverheid. Op advies van de Stuurgroep Rijksportaal is besloten een project Vernieuwing Rijksportaal op te starten om het huidige Rijksportaal te vervangen. De stuurgroep Rijksportaal wil de positie, de scope en de rol van het Rijksportaal bij deze vervanging vasthouden, maar met een nieuw Rijksportaal weer de mogelijkheden hebben om functioneel en in bereik te groeien.  +

BZK en VNG werken aan een portaal met alle API's van organisaties met een publieke taak  +

Een gemeenschappelijk normenstelsel binnen een organisatie, waaruit passende maatregelen kunnen worden afgeleid. Een type baseline is de baseline kwaliteit, dat wil zeggen een organisatiebreed normenkader waarin de organisatie ook alle concrete maatregelen beschrijft die de kwaliteit van de diensten waarborgen.  +

Baseline Informatiebeveiliging Overheid (BIO) openbaar gepubliceerd  +

Een in een basisregistratie opgenomen gegeven.  +

Een bij wet als basisregistratie aangemerkte registratie.  +

Batch-gewijs via bestanden: afnemer stuurt een lijst BSN’s en krijgt BSN’s + AIG (authentiek inkomen gegeven) terug.  +

Batch-gewijs via bestanden: afnemer stuurt een lijst BSN’s en krijgt BSN’s + AIG (authentiek inkomen gegeven) terug.  +

==Objectdefinitie== Betreft een vastgelegde manier van handelen voor het beheren van serverplatforms. ==Objecttoelichting== De taken/activiteiten kunnen gerelateerd zijn aan het starten en afsluiten van de computer, back-up en onderhoud van servers.  +

==Objectdefinitie== Omvat eindgebruikersfuncties voor het bedrijfsproces en de functionele ondersteuning van informatiebeveiliging die daarvoor nodig wordt geacht. ==Objecttoelichting== De eigenschappen van het softwarepakket voldoen aan de businessbehoefte van de klant en ondersteunt daarmee op een veilige manier het bedrijfsproces. Het softwarepakket bevat goed-gedefinieerde mogelijkheden en interfaces. Integratie en mogelijke koppelingen spelen daarbij een belangrijke rol. Het is zinvol na te gaan welke (open) standaarden een softwarepakket ondersteunt en in hoeverre deze in de toekomst actueel gehouden worden. Denk daarbij aan een standaard als Pan-European Public Procurement OnLine (PEPPOL) voor E-factureren. Het softwarepakket dient de klant naast businessfuncties ook voldoende ‘digitale behendigheid’ te leveren, waardoor de organisatie componenten kan veranderen, naar behoefte kan uitbreiden en het softwarepakket aan het einde van de levenscyclus kan vervangen onafhankelijk van de belendende systemen. ==Schaalgrootte== Elke schaalgrootte. ==Voor wie== Klant.  +

==Objectdefinitie== Omvat maatregelen waarmee de toepassing van softwarepakketten voor bedrijfskritische processen doorgang kan vinden, ondanks incidenten en uitval van leveranciersondersteuning. ==Objecttoelichting== Omdat de klant voor de continuïteit van haar bedrijfsvoering in hoge mate afhankelijk kan zijn van de beschikbare functionaliteit van softwarepakketten zijn maatregelen voor calamiteiten van essentieel belang. De beoogde continuïteit kan daarbij bepaald worden door externe factoren, zoals het ‘omvallen’ van cloud-leveranciers of de hostingproviders. Bedrijfscontinuïteit omvat een set van maatregelen, die tijdens calamiteiten, zoals natuurrampen, binnen de overeengekomen maximale uitvalsduur (Recovery Time Objective (RTO)), zorgt voor het herstel van data en de kritische dienstverlening, waarbij dataverlies beperkt blijft tot het maximaal toegestane dataverlies. Bekende continuïteitsmaatregelen zijn: redundantie, disaster recovery en het periodiek aantonen dat herstelfuncties werken. ==Schaalgrootte== Middel en groot. ==Voor wie== Klant en leverancier.  +

==Objectdefinitie== Betreft een besturingsproces voor activiteiten die organisaties beschermen tegen ontwrichtende gebeurtenissen. ==Objecttoelichting== Bedrijfscontinuïteitsmanagement (BCM) beschrijft de eisen voor een managementsysteem om organisaties te beschermen tegen ontwrichtende gebeurtenissen, om de kans op deze gebeurtenissen te verkleinen en om te zorgen dat een organisatie daar volledig van kan herstellen. Hierbij zal de organisatie zich onder andere richten op ontwikkeling, implementatie en onderhoud van beleid, strategieën en programma’s om de effecten van mogelijk ontwrichtende gebeurtenissen de organisatie te kunnen beheersen. In de cloud-omgeving vertrouwt de Cloud Service Consumer (CSC), de Cloud Service Provider (CSP) als derde partij. De CSP zal de CSC zekerheid moeten geven over documentatie over assets en resources, incidentmanagement, bedrijfscontinuïteit, herstelplannen, beleid, beheerprocessen en back-up-management.  +

==Objectdefinitie== Omvat maatregelen, die tijdens normaal bedrijf en bij voorkomende calamiteiten, binnen de overeengekomen maximale uitvalduur, zorgen voor het herstel van de data en de dienstverlening, waarbij dataverlies wordt voorkomen. ==Objecttoelichting== Omdat de Cloud Service Consumer (CSC) voor haar bedrijfsvoering sterk afhankelijk is van de Cloud Service Provider (CSP) en van externe factoren zijn bedrijfscontinuïteitsservices van essentieel belang. Bedrijfscontinuïteitsservices omvatten het pakket van maatregelen, dat zowel voor normaal bedrijf (met Quality of Service (QoS)) als voor situaties van calamiteiten, zoals natuurrampen, binnen de overeengekomen maximale uitvalsduur Recovery Time Objective (RTO), zorgt voor het herstel van data en de kritische dienstverlening, waarbij dataverlies beperkt blijft tot het overeengekomen maximale dataverlies. Bekende continuïteitsmaatregelen zijn redundantie, disaster recovery en het periodiek aantonen dat herstelfuncties werken.  +

Een bedrijfsfunctie beschrijft datgene wat gedaan moet worden om een bedrijfsdoelstelling te behalen, onafhankelijk van de inrichting van de organisatie en haar processen.  +

Een bedrijfsfunctiemodel is een model van de bedrijfsfuncties van een organisatie en beschrijft wat een organisatie doet onafhankelijk van hoe het wordt uitgevoerd.  +

==Objectdefinitie== Betreft de registratie van alle, tot het bedrijfsproces behorende middelen. ==Objecttoelichting== NB De control uit de BIO is ten opzichte van de [[NEN-EN-ISO/IEC 27001:2017 (Managementsystemen voor informatiebeveiliging - Eisen)|ISO 27001]] veranderd. In de huisvesting van de rekencentra zijn verschillende bedrijfsmiddelen, voorzieningen en hieraan gerelateerde componenten opgenomen, zoals: glasvezel en bekabeling, back-upvoorzieningen, klimaatbeheersing, airconditioning en geavanceerde brandblussystemen. Het is van belang de componenten van deze voorzieningen zelf en/of informatie over deze voorzieningen te inventariseren en te registreren zodat de juiste informatie beschikbaar is, wanneer gebeurtenissen daarom vragen.  +

==Objectdefinitie== Betreft het veilig en gecontroleerd verwijderen van bedrijfsmiddelen. ==Objecttoelichting== Bedrijfsmiddelen zijn alle objecten waarmee bedrijfsgegevens kunnen worden opgeslagen en/of verwerkt en objecten, waarmee toegang tot gebouwen, ruimten en IT-voorzieningen kan worden verkregen. Verwijdering en afvoer van deze middelen dient nauwkeurig met vastgestelde procedures te worden uitgevoerd.  +

De overheidsdienstverlener gebruikt begrijpelijke taal in alle communicatie over haar dienstverlening. Zo is de dienst voor iedereen te begrijpen en kunnen burgers en bedrijven gemakkelijk een aanvraag doen, een benodigde actie uitvoeren, of een vraag stellen. En is ook de communicatie die daar op volgt helder. Het is voor burgers en bedrijven duidelijk wat de betekenis is van informatie binnen het werkproces, waar het is ontvangen of gemaakt. Het is bijvoorbeeld bekend wanneer de informatie is gemaakt, door wie, waar zij betrekking op heeft en wat de status is. Ook automatische besluitvorming (door toepassing van algoritmes) vindt altijd plaats op een manier die voor burgers en bedrijven begrijpelijk is.  +

De mate waarin gegevens eenvoudig gelezen en geïnterpreteerd kunnen worden door gebruikers.  +