Eigenschap:Toelichting bij opname lijst Forum Standaardisatie

Uit de experttoetst is naar voren gekomen dat bij het toepassingsgebied de opmerking moet worden geplaatst dat de bruikbaarheid van IFC zich primair richt op gebouwen – in de breedste zin van het woord. Er is echter een grijs gebied tussen de wereld van „bouwwerken‟ en de wereld van infrastructuur en weg- en waterbouw. Een voorbeeld is de realisatie van een kunstwerk in een snelweg (bijv. een viaduct) of het uitdiepen van een vaarweg (baggeren). Naar mening van de expertgroep vallen deze domeinen op basis van het gekozen toepassingsgebied buiten het primaire domein van IFC.  +

Uit de experttoetst is naar voren gekomen dat bij het toepassingsgebied de opmerking moet worden geplaatst dat de bruikbaarheid van IFC zich primair richt op gebouwen – in de breedste zin van het woord. Er is echter een grijs gebied tussen de wereld van „bouwwerken‟ en de wereld van infrastructuur en weg- en waterbouw. Een voorbeeld is de realisatie van een kunstwerk in een snelweg (bijv. een viaduct) of het uitdiepen van een vaarweg (baggeren). Naar mening van de expertgroep vallen deze domeinen op basis van het gekozen toepassingsgebied buiten het primaire domein van IFC.  +

November 2016 is besloten om naast RFC 4301 ook RFC 6040 en RFC 7619 toe te voegen. RFC 6040 omvat de behandeling van signalen in het geval als er verstopping optreedt. RFC 7619 is een 0-authenticatie methode in IKE versie 2 die gebruikt kan worden om opportunistische encryptie mogelijk te maken.  +

November 2016 is besloten om de standaard van de aanbevolen lijst te verwijderen. IPM is namelijk een onderdeel van een Contentmodel en beschrijft het component 'Structuurmodel'. Het is daarmee te weinig een generieke standaard. Verder wordt IPM als zodanig niet als open standaard beheerd (dit betreft niet de afzonderlijk contentmodellen). De standaard voldoet daardoor niet (meer) aan de criteria voor opname op de lijst aanbevolen standaarden.  +

Het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS%20180613.2A%20Agendapunt%204b.%20Standaardisatie%20van%20het%20Overheidsbrede%20Overleg%20Digitale%20Overheid%20van%2024%20mei%202018.pdf standaardsyntaxis] .  +

Het Overheidsbreed Beleidsoverleg Digitale Overheid (OBDO) heeft in 2018 het functioneel toepassingsgebied aangepast conform de in 2017 vastgestelde [https://www.forumstandaardisatie.nl/sites/bfs/files/proceedings/FS%20180613.2A%20Agendapunt%204b.%20Standaardisatie%20van%20het%20Overheidsbrede%20Overleg%20Digitale%20Overheid%20van%2024%20mei%202018.pdf standaardsyntaxis] .  +

In Nederland worden minstens vijf verschillende lijsten met landencodes binnen de overheid gebruikt. (Het ministerie van defensie gebruikt bijvoorbeeld, net als de NATO, STANAG 1059).<br /> Gelet op de verschillende contexten waarin de lijsten gebruikt worden is het onwaarschijnlijk dat gebruikers van één van de lijsten kunnen overstappen op de andere lijst. Gebruikers moeten zelf bepalen welke lijst voor hen het meest bruikbaar is. De lijsten die het meest worden ingezet zijn gebaseerd op ISO3166-1.  Oorspronkelijk getoetst zijn de 2006 versies. Deze zijn ingetrokken en vervangen door de 2014 versie. November 2016 is dit ook besloten in het Forum en Nationaal Beraad. Hier wordt dan ook naar verwezen via de specificatiedocumentatie. De nieuwe versie van standaard ISO3166 is een uitbreiding op de vorige versie met nieuwe landen.    +

November 2016 is besloten om op de aanbevolen lijst de RFC 4627 uit juli 2006 te vervangen voor de RFC 7159 uit maart 2014. Het IETF heeft in december 2017 besloten om RFC 7159 ''te vervangen door'' [https://tools.ietf.org/html/rfc8259 RFC 8259]  +

November 2016 is besloten om op de aanbevolen lijst de RFC 4627 uit juli 2006 te vervangen voor de RFC 7159 uit maart 2014. Het IETF heeft in december 2017 besloten om RFC 7159 ''te vervangen door'' [https://tools.ietf.org/html/rfc8259 RFC 8259]  +

November 2016 is op de lijst de versie aangepast. Van de 2008 versie naar de 2015 versie. De 2015 versie betreft een update van de 2008 versie van de norm met toevoegingen, verwijderingen en wijzigingen van o.a. valutacodes.  +

Na plaatsing op de 'Pas toe of leg uit'-lijst zijn zowel ISO 27001 als ISO 27002 Europese normen geworden. Inhoudelijk zijn de normen niet gewijzigd.  Hierdoor is het meest actuele specificatiedocument NEN-EN-ISO/IEC27001:2017. Inhoudelijk is het gelijk aan de specificatie EN-ISO/IEC27001:2013 die getoetst is voor opname op de 'Pas toe of leg uit'-lijst. ==== Baseline Informatiebeveiliging Overheid (BIO) en NEN-ISO/IEC 27001:2017 en 27002:2017 ==== De [https://bio-overheid.nl/ Baseline Informatiebeveiliging Overheid (BIO)] is een normenkader voor informatiebeveiliging en geeft het basisniveau voor informatiebeveiliging waar alle overheidspartijen aan moeten voldoen. Door dit eenduidige normenkader binnen de overheid, wordt een stevige basis gelegd voor de verdere optimalisering van informatiebeveiliging binnen de gehele overheid en ontstaat een gemeenschappelijke taal, die bijdraagt aan veilige samenwerking in ketens binnen de overheid. De BIO is gebaseerd op de NEN-ISO/IEC 27002:2017 en vanuit de BIO wordt verwezen naar de NEN-ISO/IEC 27001:2017. Beide standaarden staan ook op de lijst verplichte standaarden. In de BIO hebben specifieke overheidsmaatregelen de tekstkleur groen. NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 beschrijven details voor implementatie (implementatierichtlijnen) en eisen voor de procesinrichting (o.a. het ISMS uit NEN-ISO/IEC 27001:2017). Die documenten geven dus de details voor de toepassing, die niet in de BIO zijn beschreven en die nodig blijven voor een goede implementatie van de BIO.  +

Na plaatsing op de 'Pas toe of leg uit'-lijst zijn zowel ISO 27001 als ISO 27002 Europese normen geworden. Inhoudelijk zijn de normen niet gewijzigd.  Hierdoor is het meest actuele specificatiedocument NEN-EN-ISO/IEC27001:2017. Inhoudelijk is het gelijk aan de specificatie EN-ISO/IEC27001:2013 die getoetst is voor opname op de 'Pas toe of leg uit'-lijst. ==== Baseline Informatiebeveiliging Overheid (BIO) en NEN-ISO/IEC 27001:2017 en 27002:2017 ==== De [https://bio-overheid.nl/ Baseline Informatiebeveiliging Overheid (BIO)] is een normenkader voor informatiebeveiliging en geeft het basisniveau voor informatiebeveiliging waar alle overheidspartijen aan moeten voldoen. Door dit eenduidige normenkader binnen de overheid, wordt een stevige basis gelegd voor de verdere optimalisering van informatiebeveiliging binnen de gehele overheid en ontstaat een gemeenschappelijke taal, die bijdraagt aan veilige samenwerking in ketens binnen de overheid. De BIO is gebaseerd op de NEN-ISO/IEC 27002:2017 en vanuit de BIO wordt verwezen naar de NEN-ISO/IEC 27001:2017. Beide standaarden staan ook op de lijst verplichte standaarden. In de BIO hebben specifieke overheidsmaatregelen de tekstkleur groen. NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 beschrijven details voor implementatie (implementatierichtlijnen) en eisen voor de procesinrichting (o.a. het ISMS uit NEN-ISO/IEC 27001:2017). Die documenten geven dus de details voor de toepassing, die niet in de BIO zijn beschreven en die nodig blijven voor een goede implementatie van de BIO.  +

Na plaatsing op de 'Pas toe of leg uit'-lijst zijn zowel ISO 27001 als ISO 27002 Europese normen geworden. Inhoudelijk zijn de normen niet gewijzigd. Hierdoor is het meest actuele specificatiedocument NEN-EN-ISO/IEC27002:2017. Inhoudelijk is het gelijk aan de specificatie EN-ISO/IEC27002:2013 die getoetst is voor opname op de 'Pas toe of leg uit'-lijst. ==== Baseline Informatiebeveiliging Overheid (BIO) en NEN-ISO/IEC 27001:2017 en 27002:2017 ==== De [https://bio-overheid.nl/ Baseline Informatiebeveiliging Overheid (BIO)] is een normenkader voor informatiebeveiliging en geeft het basisniveau voor informatiebeveiliging waar alle overheidspartijen aan moeten voldoen. Door dit eenduidige normenkader binnen de overheid, wordt een stevige basis gelegd voor de verdere optimalisering van informatiebeveiliging binnen de gehele overheid en ontstaat een gemeenschappelijke taal die bijdraagt aan veilige samenwerking in ketens binnen de overheid. De BIO is gebaseerd op de NEN-ISO/IEC 27002:2017 en vanuit de BIO wordt verwezen naar de NEN-ISO/IEC 27001:2017. Beide standaarden staan ook op de lijst verplichte standaarden. In de BIO hebben specifieke overheidsmaatregelen de tekstkleur groen. NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 beschrijven details voor implementatie (implementatierichtlijnen) en eisen voor de procesinrichting (o.a. het ISMS uit NEN-ISO/IEC 27001:2017). Die documenten geven dus de details voor de toepassing, die niet in de BIO zijn beschreven en die nodig blijven voor een goede implementatie van de BIO.  +

Na plaatsing op de 'Pas toe of leg uit'-lijst zijn zowel ISO 27001 als ISO 27002 Europese normen geworden. Inhoudelijk zijn de normen niet gewijzigd. Hierdoor is het meest actuele specificatiedocument NEN-EN-ISO/IEC27002:2017. Inhoudelijk is het gelijk aan de specificatie EN-ISO/IEC27002:2013 die getoetst is voor opname op de 'Pas toe of leg uit'-lijst. ==== Baseline Informatiebeveiliging Overheid (BIO) en NEN-ISO/IEC 27001:2017 en 27002:2017 ==== De [https://bio-overheid.nl/ Baseline Informatiebeveiliging Overheid (BIO)] is een normenkader voor informatiebeveiliging en geeft het basisniveau voor informatiebeveiliging waar alle overheidspartijen aan moeten voldoen. Door dit eenduidige normenkader binnen de overheid, wordt een stevige basis gelegd voor de verdere optimalisering van informatiebeveiliging binnen de gehele overheid en ontstaat een gemeenschappelijke taal die bijdraagt aan veilige samenwerking in ketens binnen de overheid. De BIO is gebaseerd op de NEN-ISO/IEC 27002:2017 en vanuit de BIO wordt verwezen naar de NEN-ISO/IEC 27001:2017. Beide standaarden staan ook op de lijst verplichte standaarden. In de BIO hebben specifieke overheidsmaatregelen de tekstkleur groen. NEN-ISO/IEC 27001:2017 en de NEN-ISO/IEC 27002:2017 beschrijven details voor implementatie (implementatierichtlijnen) en eisen voor de procesinrichting (o.a. het ISMS uit NEN-ISO/IEC 27001:2017). Die documenten geven dus de details voor de toepassing, die niet in de BIO zijn beschreven en die nodig blijven voor een goede implementatie van de BIO.  +

De standaard NL GOV Assurance profile for OAuth 2.0 is ontwikkeld in het [https://www.geonovum.nl/themas/kennisplatform-apis Kennisplatform APIs] door een brede groep organisaties. Vanaf medio 2020 ligt het beheer van de standaard formeel bij [https://logius.nl/ Logius]. Het Kennisplatform APIs blijft wel input leveren voor de doorontwikkeling van de standaard. NL GOV Assurance profile for OAuth 2.0 moet gezien worden als een ‘standaard op de standaard’ OAuth 2.0. Voor het beheer gelden dan ook de criteria die gelden voor open standaarden op de 'pas toe of leg uit' lijst. NL GOV Assurance profile for OAuth 2.0 vereist het gebruik van PKI Overheid certificaten. Organisaties van de overheid zonder [https://www.logius.nl/diensten/oin Organisatie Identificatie Nummer] (OIN) kunnen NL GOV Assurance profile for OAuth 2.0 daarom niet volledig toepassen. Deze organisaties zijn dus ook niet gehouden aan de 'pas toe of leg uit' verplichting.  +

De standaard NL GOV Assurance profile for OAuth 2.0 is ontwikkeld in het [https://www.geonovum.nl/themas/kennisplatform-apis Kennisplatform APIs] door een brede groep organisaties. Vanaf medio 2020 ligt het beheer van de standaard formeel bij [https://logius.nl/ Logius]. Het Kennisplatform APIs blijft wel input leveren voor de doorontwikkeling van de standaard. NL GOV Assurance profile for OAuth 2.0 moet gezien worden als een ‘standaard op de standaard’ OAuth 2.0. Voor het beheer gelden dan ook de criteria die gelden voor open standaarden op de 'pas toe of leg uit' lijst. NL GOV Assurance profile for OAuth 2.0 vereist het gebruik van PKI Overheid certificaten. Organisaties van de overheid zonder [https://www.logius.nl/diensten/oin Organisatie Identificatie Nummer] (OIN) kunnen NL GOV Assurance profile for OAuth 2.0 daarom niet volledig toepassen. Deze organisaties zijn dus ook niet gehouden aan de 'pas toe of leg uit' verplichting.  +

In eerste instantie is door een expertgroep gekeken naar de standaard ‘Content Zoekprofiel’. Een standaard van Stichting Kennisnet voor het primair en voortgezet onderwijs. Het bleek dat er ook de standaard ‘LoreLOM’ van Surf Foundation bestaat voor het hoger onderwijs. Door de sector is vervolgens aangegeven dat één standaard is voor educatief materiaal wenselijk is. Op aandringen van het Forum zijn beide standaarden samengevoegd tot één nieuwe standaard: NL-LOM.  +

In eerste instantie is door een expertgroep gekeken naar de standaard ‘Content Zoekprofiel’. Een standaard van Stichting Kennisnet voor het primair en voortgezet onderwijs. Het bleek dat er ook de standaard ‘LoreLOM’ van Surf Foundation bestaat voor het hoger onderwijs. Door de sector is vervolgens aangegeven dat één standaard is voor educatief materiaal wenselijk is. Op aandringen van het Forum zijn beide standaarden samengevoegd tot één nieuwe standaard: NL-LOM.  +

Wanneer NLCS wordt uitgevraagd als onderdeel van een bouwproject, dan is het ''gehele ICT perceel'' van het bouwproject bepalend voor het van toepassing zijn van de Instructie rijksdienst bij aanschaf van ICT producten of diensten (http://wetten.overheid.nl/BWBR0024717/2008-11-23). Dus niet alleen de kosten van de software licentie.  +

Wanneer NLCS wordt uitgevraagd als onderdeel van een bouwproject, dan is het ''gehele ICT perceel'' van het bouwproject bepalend voor het van toepassing zijn van de Instructie rijksdienst bij aanschaf van ICT producten of diensten (http://wetten.overheid.nl/BWBR0024717/2008-11-23). Dus niet alleen de kosten van de software licentie.  +

In het Nationaal Beraad Digitale Overheid van 17 mei 2016 is op advies van het Forum Standaardisatie besloten om de NTA9040 te verwijderen van de lijst met standaarden. Informatie over de procedure is te vinden in onderstaande documentatie. Bij de oorspronkelijke opname had het College, als een voorwaarde voor opname,  de indiener gevraagd om toe te lichten welke onderdelen van StUF binnen de standaard worden gebruikt. Deze toelichting is gegeven waardoor de standaard op de 'Pas toe of leg uit' -lijst kon worden opgenomen. Zie toelichting op de relatie met StUF.<br />      +

In het Nationaal Beraad Digitale Overheid van 17 mei 2016 is op advies van het Forum Standaardisatie besloten om de NTA9040 te verwijderen van de lijst met standaarden. Informatie over de procedure is te vinden in onderstaande documentatie. Bij de oorspronkelijke opname had het College, als een voorwaarde voor opname,  de indiener gevraagd om toe te lichten welke onderdelen van StUF binnen de standaard worden gebruikt. Deze toelichting is gegeven waardoor de standaard op de 'Pas toe of leg uit' -lijst kon worden opgenomen. Zie toelichting op de relatie met StUF.<br />      +

November 2016 is besloten om NTP te op de lijst te update van versie 3 (RFC 1305) naar versie 4. De nieuwe versie van standaard NTP 4 bevat aanpassingen op de vorige versie met o.a. hogere nauwkeurigheid, ondersteuning van IPv6, dynamische server discovery, herstel van foutjes in de vorige versie en is backward compatible versie 3 en versie 2 van NTP.  +

Bij opname zijn er een aantal opmerkingen op het toepassingsgebied meegegeven: * Het gaat om bibliotheken in de vorm van digitale collecties of repositories. * In het toepassingsgebied is gekozen voor een interactief pull-model (actieve bevraging). Niet om een niet-interactief model (‘spidering’ van online content) of een push-model waarbij het initiatief van de aanbieder van metadata uitgaat. * Er is gekozen voor een doelbinding: het doel van de uitwisseling van metadata moet zijn ‘het opnemen … in een centrale bibliotheek’. Hierdoor wordt voorkomen dat veel lopende ontwikkelingen op het gebied van digitalisering, waarbij metadata wordt uitgewisseld, onbedoeld binnen het toepassingsgebied vallen. * In het expertonderzoek bleek dat er een interferentie kan ontstaan indien (op basis van de lijst) zowel OAI-PMH als Digikoppeling toegepast moet worden. Hoewel de kans hierop klein is, wordt dit door opname van een bepaling over Digikoppeling voorkomen. * Het gaat om "verzamelingen metadata uit bibliotheken met (digitale) documenten of objecten". Buiten het toepassingsgebied valt het uitwisselen van alleen gestructureerde data die is vastgelegd in databases, zoals bijvoorbeeld bij Basisregistraties het geval is.  +

Bij opname zijn er een aantal opmerkingen op het toepassingsgebied meegegeven: * Het gaat om bibliotheken in de vorm van digitale collecties of repositories. * In het toepassingsgebied is gekozen voor een interactief pull-model (actieve bevraging). Niet om een niet-interactief model (‘spidering’ van online content) of een push-model waarbij het initiatief van de aanbieder van metadata uitgaat. * Er is gekozen voor een doelbinding: het doel van de uitwisseling van metadata moet zijn ‘het opnemen … in een centrale bibliotheek’. Hierdoor wordt voorkomen dat veel lopende ontwikkelingen op het gebied van digitalisering, waarbij metadata wordt uitgewisseld, onbedoeld binnen het toepassingsgebied vallen. * In het expertonderzoek bleek dat er een interferentie kan ontstaan indien (op basis van de lijst) zowel OAI-PMH als Digikoppeling toegepast moet worden. Hoewel de kans hierop klein is, wordt dit door opname van een bepaling over Digikoppeling voorkomen. * Het gaat om "verzamelingen metadata uit bibliotheken met (digitale) documenten of objecten". Buiten het toepassingsgebied valt het uitwisselen van alleen gestructureerde data die is vastgelegd in databases, zoals bijvoorbeeld bij Basisregistraties het geval is.  +