ISOR (Information Security Object Repository): verschil tussen versies

Uit NORA Online
Naar navigatie springen Naar zoeken springen
(aangegeven waarom privacy baseline onderdeel uitmaakt van ISOR)
k (tekst 'uitgelicht' aangepast en verderop taalfoutjes hersteld)
(15 tussenliggende versies door 3 gebruikers niet weergegeven)
Regel 1: Regel 1:
{{CIP concept}}
{{Uitgelicht|De ISOR is in bewerking. De themadocumenten die in de afgelopen 2 jaar zijn gepubliceerd worden ingrijpend gewijzigd. Dat betreft niet zozeer de normen voor beleid, uitvoering en control zelf - hoewel het niet uitgesloten is dat ook daar wat aanpassingen of aanvullingen zullen zijn - maar vooral de structurering van de documenten, de onderlinge vergelijkbaarheid en het verplaatsen van delen van de inhoud naar gemeenschapelijke pagina's.<br>De themadocumenten waren tot op heden vooral 'papieren documenten', die ook min of meer als zodanig in de WIKI zijn geplaatst. Nu streven we naar een overal-structuur die meer past bij de mogelijkheden die een WIKI biedt. }}
{{Kaderrechtssmal|[[Afbeelding:ISOR.png|center|thumb|200px|alt=Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)|]]De ISOR wordt beheerd door het [[Heeft beheerder::Centrum Informatiebeveiliging en Privacybescherming (CIP)|CIP]].<br>Contactpersoon: Annemieke de Wit<br>
: → {{Maillink|to=annemieke.dewit@cip-overheid.nl|cc=CIP@UWV.nl|text=annemieke.dewit@cip-overheid.nl|subject=Bericht NORA ISOR-WIKI:}}
}}
De ISOR wordt beheerd door het CIP. Heb je vragen, toevoegingen, suggesties of anderszins, neem dan contact op met het CIP.
 
==Werkingsgebied ISOR==
==Werkingsgebied ISOR==
{{Kaderrechtssmal|[[Afbeelding:ISOR.png|center|thumb|330px|alt=Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)|]][[Heeft beheerder::Centrum Informatiebeveiliging en Privacybescherming (CIP)|ISOR wordt beheerd door het CIP]]. <br>Contactpersonen: Annemieke de Wit & Ruud de Bruijn <br>
Op het gebied van informatiebeveiliging spelen de normenkaders [[NEN-ISO/IEC 27001|ISO 27001]] en [[NEN-ISO/IEC 27002|ISO 27002]] sinds jaar en dag een grote rol. De Rijksoverheid heeft op basis van deze kaders de [[BIR (Baseline Informatiebeveiliging Rijksdienst)|Baseline Informatiebeveiliging Rijksdienst (BIR)]] ontwikkeld. Vervolgens heeft dat geresulteerd in varianten voor gemeenten [[BIG (Baseline Informatiebeveiliging Gemeenten)|(BIG)]], waterschappen [[BIWA (Baseline Informatiebeveiliging Waterschappen)|(BIWA)]] en provincies [[IBI (Interprovinciale Baseline Informatiebeveiliging)|(IBI)]]. Die baselines bepalen een basisniveau voor de informatiebeveiliging.
: → {{Maillink|to=annemieke.dewit@cip-overheid.nl;ruud.debruijn@cip-overheid.nl|cc=CIP@UWV.nl|text=annemieke.dewit@cip-overheid.nl / ruud.debruijn@cip-overheid.nl|subject=Bericht NORA ISOR-WIKI:}}
 
}}
 
Op het gebied van informatieveiligheid spelen de normenkaders [[NEN-ISO/IEC 27001|ISO 27001]] en [[NEN-ISO/IEC 27002|ISO 27002]] sinds jaar en dag een grote rol. De Rijksoverheid heeft op basis van deze kaders de [[BIR (Baseline Informatiebeveiliging Rijksdienst)|Baseline Informatiebeveiliging Rijksdienst (BIR)]] ontwikkeld. Vervolgens heeft dat geresulteerd in varianten voor gemeenten [[BIG (Baseline Informatiebeveiliging Gemeenten)|(BIG)]], waterschappen [[BIWA (Baseline Informatiebeveiliging Waterschappen)|(BIWA)]] en provincies [[IBI (Interprovinciale Baseline Informatiebeveiliging)|(IBI)]]. Die baselines bepalen een basisniveau voor de informatieveiligheid.
Een proces van convergentie heeft geleid tot de [[BIO (Baseline Informatiebeveiliging Overheid)|BIO]]. De BIO vervangt de BIR, BIR2017, BIG, BIWA en IBI. Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiliging, gebaseerd op de internationaal erkende en actuele ISO-normatiek. Om de informatiebeveiliging bij alle bestuurslagen binnen de gehele overheid te verhogen, is sinds 2019 de Baseline Informatiebeveiliging Overheid (BIO) van kracht. Een PDF-versie van de BIO is te vinden op [https://cip-overheid.nl/category/producten/bio/#bio-tekst cip.overheid.nl/producten/bio]. De BIO beschrijft het strategisch-tactische niveau.  




Een proces van convergentie heeft geleid tot de [[BIO (Baseline Informatiebeveiliging Overheid)|BIO]], één baseline voor de gehele overheid. Een PDF-versie is te vinden op [https://cip-overheid.nl/category/producten/bio/#bio-tekst cip.overheid.nl/producten/bio]. De BIO beschrijft het strategisch-tactische niveau.  
Om deze baseline in de praktijk te implementeren, worden themagewijze uitwerkingen op tactisch-operationeel niveau gemaakt in de community van het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)]], onder de naam [https://bio-overheid.nl/category/producten/#Handreikingen BIO Thema-uitwerkingen]. Voorbeelden van BIO Thema-uitwerkingen zijn clouddiensten en toegangsbeveiliging.  




Om deze baseline in de praktijk te implementeren, worden themagewijze uitwerkingen op tactisch-operationeel niveau gemaakt in de community van het [[Centrum Informatiebeveiliging en Privacybescherming (CIP)]]. Deze BIO Thema-uitwerkingen, hierna genoemd normenkaders, worden ontsloten in de ISOR. De ISOR wordt beheerd door het CIP.
Deze BIO Thema-uitwerkingen, onder de naam 'Normenkaders', worden ontsloten in de ISOR. De ISOR is een bibliotheek onderverdeeld in normenkaders met te ontwerpen, beveiligen en beoordelen informatiebeveiligingsobjecten (in de ISOR beveiligingsprincipes genoemd).


==Methode en indeling ISOR==  
==Methode en indeling ISOR==
Alle BIO Thema-uitwerkingen in de ISOR zijn geschreven volgens de [[Gebruikt::SIVA-methode]]. SIVA staat voor Structuur, Inhoud, Vorm en Analysevolgorde. Deze methode maakt een overzichtelijke, eenduidige syntax mogelijk.  
Alle [https://bio-overheid.nl/category/producten/#Handreikingen BIO Thema-uitwerkingen] in de ISOR zijn geschreven volgens de [[Gebruikt::SIVA-methode]]. SIVA staat voor Structuur, Inhoud, Vorm en Analysevolgorde. Deze methode maakt een overzichtelijke, eenduidige syntax mogelijk.  




Door deze methode zijn beveiligingsprincipes (in de themadocumenten genoemd objecten) eenduidig verstaanbare normen (in de themadocumenten genoemd maatregelen), die de [[BIO (Baseline Informatiebeveiliging Overheid)|BIO]] concreet invullen. Elk criteria (in het themadocument genoemd control) is voorzien van een aantal [[Conformiteitsindicatoren]], waarmee je kunt toetsen of aan de norm voldaan wordt.
Door deze methode zijn beveiligingsprincipes (in de BIO Thema-uitwerkingen genoemd objecten) eenduidig verstaanbare normen (in de BIO Thema-uitwerkingen genoemd maatregelen), die de [[BIO (Baseline Informatiebeveiliging Overheid)|BIO]] concreet invullen. Elk criteria (in de BIO Thema-uitwerking genoemd control) is voorzien van een aantal [[Conformiteitsindicatoren]], waarmee je kunt toetsen of aan de norm voldaan wordt.




Elke norm valt binnen een (of enkele) inhoudelijke onderwerpen, genoemd normenkaders (in het themadocument genoemd thema's). Elk normenkader bevat objecten, ingedeeld in een van de drie aspecten (in het themadocument genoemd domein):  [[Beveiligingsaspect Beleid|beleid]], [[Beveiligingsaspect Uitvoering|uitvoering]] en [[Beveiligingsaspect Control|control]].
Elke norm valt binnen een (of enkele) inhoudelijke onderwerpen, genoemd normenkaders (in het themadocument genoemd thema's). Een thema is een afgebakend gebied. Elk normenkader bevat objecten, ingedeeld in een van de drie aspecten (in het themadocument genoemd domein):  [[Beveiligingsaspect Beleid|beleid]], [[Beveiligingsaspect Uitvoering|uitvoering]] en [[Beveiligingsaspect Control|control]].




Regel 26: Regel 31:
* Domein (BIO Thema-uitwerking) = beveiligingsaspect (ISOR)
* Domein (BIO Thema-uitwerking) = beveiligingsaspect (ISOR)
* Object (BIO Thema-uitwerking) = beveiligingsprincipe (ISOR)
* Object (BIO Thema-uitwerking) = beveiligingsprincipe (ISOR)
* Control (BIO Thema-uitwerking) = criteria (ISOR)
* Control (BIO Thema-uitwerking) = criterium (ISOR)
* Maatregel (BIO Thema-uitwerking) = norm (ISOR)
* Maatregel (BIO Thema-uitwerking) = norm (ISOR)


==In de ISOR ontsloten normenkaders==
==In de ISOR ontsloten normenkaders==
Anders dan de term ISOR doet vermoeden, herbergt de ISOR naast de BIO-thema uitwerkingen ook de privacy baseline. In de ISOR zijn de volgende normenkaders ontsloten:
Anders dan de term ISOR doet vermoeden, herbergt de ISOR naast de BIO-thema uitwerkingen ook de [[Privacy Baseline]]. Voor de Privacy Baseline zijn de privacyprincipes uit de wet [[AVG]] gefilterd en vertaald naar normen die gehaald moeten worden om aan de wet te voldoen. Zo komt de Baseline aan het karakter van een normenkader van het type dat in de ISOR gebruikt wordt voor de thema-uitwerkingen van Informatieveiligheid.
 
In de ISOR zijn de volgende normenkaders ontsloten:
{{#ask:[[Categorie:normenkaders]][[Status actualiteit::Actueel]]
{{#ask:[[Categorie:normenkaders]][[Status actualiteit::Actueel]]
|format=ul
|format=ul

Versie van 29 okt 2020 15:21

De ISOR is in bewerking. De themadocumenten die in de afgelopen 2 jaar zijn gepubliceerd worden ingrijpend gewijzigd. Dat betreft niet zozeer de normen voor beleid, uitvoering en control zelf - hoewel het niet uitgesloten is dat ook daar wat aanpassingen of aanvullingen zullen zijn - maar vooral de structurering van de documenten, de onderlinge vergelijkbaarheid en het verplaatsen van delen van de inhoud naar gemeenschapelijke pagina's.
De themadocumenten waren tot op heden vooral 'papieren documenten', die ook min of meer als zodanig in de WIKI zijn geplaatst. Nu streven we naar een overal-structuur die meer past bij de mogelijkheden die een WIKI biedt.
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
De ISOR wordt beheerd door het CIP.
Contactpersoon: Annemieke de Wit
annemieke.dewit@cip-overheid.nl

De ISOR wordt beheerd door het CIP. Heb je vragen, toevoegingen, suggesties of anderszins, neem dan contact op met het CIP.

Werkingsgebied ISOR[bewerken]

Op het gebied van informatiebeveiliging spelen de normenkaders ISO 27001 en ISO 27002 sinds jaar en dag een grote rol. De Rijksoverheid heeft op basis van deze kaders de Baseline Informatiebeveiliging Rijksdienst (BIR) ontwikkeld. Vervolgens heeft dat geresulteerd in varianten voor gemeenten (BIG), waterschappen (BIWA) en provincies (IBI). Die baselines bepalen een basisniveau voor de informatiebeveiliging.


Een proces van convergentie heeft geleid tot de BIO. De BIO vervangt de BIR, BIR2017, BIG, BIWA en IBI. Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiliging, gebaseerd op de internationaal erkende en actuele ISO-normatiek. Om de informatiebeveiliging bij alle bestuurslagen binnen de gehele overheid te verhogen, is sinds 2019 de Baseline Informatiebeveiliging Overheid (BIO) van kracht. Een PDF-versie van de BIO is te vinden op cip.overheid.nl/producten/bio. De BIO beschrijft het strategisch-tactische niveau.


Om deze baseline in de praktijk te implementeren, worden themagewijze uitwerkingen op tactisch-operationeel niveau gemaakt in de community van het CIP (Centrum Informatiebeveiliging en Privacybescherming), onder de naam BIO Thema-uitwerkingen. Voorbeelden van BIO Thema-uitwerkingen zijn clouddiensten en toegangsbeveiliging.


Deze BIO Thema-uitwerkingen, onder de naam 'Normenkaders', worden ontsloten in de ISOR. De ISOR is een bibliotheek onderverdeeld in normenkaders met te ontwerpen, beveiligen en beoordelen informatiebeveiligingsobjecten (in de ISOR beveiligingsprincipes genoemd).

Methode en indeling ISOR[bewerken]

Alle BIO Thema-uitwerkingen in de ISOR zijn geschreven volgens de SIVA-methodiek. SIVA staat voor Structuur, Inhoud, Vorm en Analysevolgorde. Deze methode maakt een overzichtelijke, eenduidige syntax mogelijk.


Door deze methode zijn beveiligingsprincipes (in de BIO Thema-uitwerkingen genoemd objecten) eenduidig verstaanbare normen (in de BIO Thema-uitwerkingen genoemd maatregelen), die de BIO concreet invullen. Elk criteria (in de BIO Thema-uitwerking genoemd control) is voorzien van een aantal Conformiteitsindicatoren, waarmee je kunt toetsen of aan de norm voldaan wordt.


Elke norm valt binnen een (of enkele) inhoudelijke onderwerpen, genoemd normenkaders (in het themadocument genoemd thema's). Een thema is een afgebakend gebied. Elk normenkader bevat objecten, ingedeeld in een van de drie aspecten (in het themadocument genoemd domein): beleid, uitvoering en control.


De BIO Thema-uitwerkingen hanteren termen die door de NORA online een andere betekenis hebben. De volgende termen uit de BIO Thema uitwerkingen zijn in de ISOR vervangen door:

  • Thema (BIO Thema-uitwerking) = normenkader (ISOR)
  • Domein (BIO Thema-uitwerking) = beveiligingsaspect (ISOR)
  • Object (BIO Thema-uitwerking) = beveiligingsprincipe (ISOR)
  • Control (BIO Thema-uitwerking) = criterium (ISOR)
  • Maatregel (BIO Thema-uitwerking) = norm (ISOR)

In de ISOR ontsloten normenkaders[bewerken]

Anders dan de term ISOR doet vermoeden, herbergt de ISOR naast de BIO-thema uitwerkingen ook de De Privacy Baseline. Voor de Privacy Baseline zijn de privacyprincipes uit de wet AVG (Algemene Verordening Gegevensbescherming) gefilterd en vertaald naar normen die gehaald moeten worden om aan de wet te voldoen. Zo komt de Baseline aan het karakter van een normenkader van het type dat in de ISOR gebruikt wordt voor de thema-uitwerkingen van Informatieveiligheid.

In de ISOR zijn de volgende normenkaders ontsloten:

Alle ISOR-overzichtspagina's[bewerken]

Naast de ontsloten normenkaders zijn er voor de gebruiker de volgende overzichten beschikbaar:

Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.

Nederlandse Overheid Referentie Architectuur.

Iedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem

Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR_(Information_Security_Object_Repository)&oldid=44111"