ISOR (Information Security Object Repository): verschil tussen versies

Uit NORA Online
Naar navigatie springen Naar zoeken springen
(eerste links toegevoegd)
(herschikking + links naar inhoud en overzichten alvast aangemaakt)
Regel 1: Regel 1:
{{Placeholder}}
{{Uitgelicht|In de ISOR worden bestaande normen systematisch ondergebracht en ontsloten. Dit is een proces van geleidelijkheid. Maar wát erin zit, is al bruikbaar. Kunt u een uitwerking niet vinden, zoek dan contact via de [https://www.cip-overheid.nl/contact/ contactpagina van CIP].}}
==ISOR als praktische uitwerking bij Baseline Informatiebeveiliging==
Op het gebied van informatieveiligheid spelen de normenkaders [[NEN-ISO/IEC 27001|ISO27001]] en [[NEN-ISO/IEC 27002|ISO27002]] sinds jaar en dag een grote rol. De Rijksoverheid heeft op basis van deze kaders de [[BIR (Baseline Informatiebeveiliging Rijksdienst)|Baseline Informatiebeveiliging Rijk (BIR)]] ontwikkeld. Vervolgens heeft dat ook geresulteerd in varianten voor gemeenten [[BIG (Baseline Informatiebeveiliging Gemeenten)|(BIG)]], waterschappen [[BIWA (Baseline Informatiebeveiliging Waterschappen)|(BIWA)]] en provincies (IBI). Die baselines bepalen een basisniveau waarop de informatieveiligheid geregeld moet zijn. Inmiddels is een proces van convergentie gestart dat zal leiden tot één baseline voor de geheel overheid: De BIO.
Op het gebied van informatieveiligheid spelen de normenkaders [[NEN-ISO/IEC 27001|ISO27001]] en [[NEN-ISO/IEC 27002|ISO27002]] sinds jaar en dag een grote rol. De Rijksoverheid heeft op basis van deze kaders de [[BIR (Baseline Informatiebeveiliging Rijksdienst)|Baseline Informatiebeveiliging Rijk (BIR)]] ontwikkeld. Vervolgens heeft dat ook geresulteerd in varianten voor gemeenten [[BIG (Baseline Informatiebeveiliging Gemeenten)|(BIG)]], waterschappen [[BIWA (Baseline Informatiebeveiliging Waterschappen)|(BIWA)]] en provincies (IBI). Die baselines bepalen een basisniveau waarop de informatieveiligheid geregeld moet zijn. Inmiddels is een proces van convergentie gestart dat zal leiden tot één baseline voor de geheel overheid: De [[BIO (Baseline Informatiebeveiliging Overheid)|BIO]].
 
De baselines hebben een strategisch-tactisch niveau. Voor de daadwerkelijke toepassing binnen organisaties is het nuttig, zo niet onmisbaar om over goede implementatierichtlijnen te kunnen beschikken en die ook themagewijs te kunnen inzetten. Vandaar dat er thema-uitwerkingen zijn gemaakt met richtlijnen. Deze uitwerkingen zijn van tactisch-operationeel niveau en zijn opgezet in een onoverzichtelijke, eenduidige syntax. Met de methode SIVA (Structuur, Inhoud, Vorm en Analysevolgorde). Voor geïnteresseerden  zie http://vuuniversitypress.com/16-dtlas/99-siva.
De baselines beschrijven het strategisch-tactische niveau. Om de baseline in de praktijk te implementeren zijn uitwerkingen op tactisch-operationeel niveau gemaakt in de community van het [[Centrum Informatiebeveiliging en Privacy]], die ontsloten worden in deze repository.  
==Methode en indeling ISOR==
Met deze uitwerkingen worden de baselines themagewijs voorzien van eenduidig verstaanbare normen. De normen zijn principe-gebaseerd (Beleidscontext: waarom deze norm?), hebben een uitvoeringsinstructie (Uitvoeringscontext: wat moet je doen om de norm in te vullen?) en zijn voorzien van auditcriteria (Control context: hoe toets je de conformiteit?)
Alle uitwerkingen (objecten) in de ISOR zijn geschreven volgens de [[Gebruikt::SIVA-methode]], hetgeen staat voor Structuur, Inhoud, Vorm en Analysevolgorde. Deze methode maakt een overzichtelijke, eenduidige syntax mogelijk. Door deze methode zijn [[Beveiligingseisen]] eenduidig verstaanbare normen, die de Baseline concreet invullen. Elke eis is voorzien van een aantal [[Conformiteitsindicatoren]], waarmee je kunt toetsen / monitoren of aan de norm voldaan wordt.
 
In deze WIKI, de repository ISOR, worden de normen systematisch ondergebracht en ontsloten. Dit is een proces van geleidelijkheid. Maar wát erin zit, is al bruikbaar. U kunt de normen in verschillende bundelingen opvragen via de querypagina’s.
Elke norm valt binnen een (of enkele) inhoudelijke onderwerpen, zoals [[ISOR Secure Software Development|Secure Software Development]] en [[ISOR Hosting|Hosting]]. Voor elk onderwerp zijn eisen beschreven in drie verschillende contexten: [[ISOR beleidscontext|beleid]], [[ISOR uitvoeringscontext|uitvoering]] en [[ISOR controlcontext|control]].
==Inhoud ISOR==
Als u een uitwerking zoekt die nog niet te vinden is in ISOR, zoek dan contact via het envelopje op de site www.cip-overheid.nl. Het kan namelijk zijn dat de uitwerking al wel bestaat, maar nog niet in ISOR is ondergebracht.
===ISOR onderwerpen===
 
{{#ask:[[Categorie:ISOR onderwerpen]]
|?Alias
|format=ul
|limit=70
|headers=show
|mainlabel=-
|link=all
|default=Er zijn nog geen onderwerpen gedefinieerd
}}
===Alle overzichtspagina's===
{{#ask:[[Categorie:ISOR]][[Categorie:Overzichten]]
|?
|format=ul
|limit=70
|headers=show
|mainlabel=-
|link=all
|default=Er zijn nog geen overzichten gedefinieerd binnen ISOR
}}

Versie van 27 sep 2016 13:30

In de ISOR worden bestaande normen systematisch ondergebracht en ontsloten. Dit is een proces van geleidelijkheid. Maar wát erin zit, is al bruikbaar. Kunt u een uitwerking niet vinden, zoek dan contact via de contactpagina van CIP.

ISOR als praktische uitwerking bij Baseline Informatiebeveiliging

Op het gebied van informatieveiligheid spelen de normenkaders ISO27001 en ISO27002 sinds jaar en dag een grote rol. De Rijksoverheid heeft op basis van deze kaders de Baseline Informatiebeveiliging Rijk (BIR) ontwikkeld. Vervolgens heeft dat ook geresulteerd in varianten voor gemeenten (BIG), waterschappen (BIWA) en provincies (IBI). Die baselines bepalen een basisniveau waarop de informatieveiligheid geregeld moet zijn. Inmiddels is een proces van convergentie gestart dat zal leiden tot één baseline voor de geheel overheid: De BIO.

De baselines beschrijven het strategisch-tactische niveau. Om de baseline in de praktijk te implementeren zijn uitwerkingen op tactisch-operationeel niveau gemaakt in de community van het Centrum Informatiebeveiliging en Privacy, die ontsloten worden in deze repository.

Methode en indeling ISOR

Alle uitwerkingen (objecten) in de ISOR zijn geschreven volgens de SIVA-methodiek, hetgeen staat voor Structuur, Inhoud, Vorm en Analysevolgorde. Deze methode maakt een overzichtelijke, eenduidige syntax mogelijk. Door deze methode zijn Beveiligingseisen eenduidig verstaanbare normen, die de Baseline concreet invullen. Elke eis is voorzien van een aantal Conformiteitsindicatoren, waarmee je kunt toetsen / monitoren of aan de norm voldaan wordt.

Elke norm valt binnen een (of enkele) inhoudelijke onderwerpen, zoals Secure Software Development en Hosting. Voor elk onderwerp zijn eisen beschreven in drie verschillende contexten: beleid, uitvoering en control.

Inhoud ISOR

ISOR onderwerpen

Er zijn nog geen onderwerpen gedefinieerd

Alle overzichtspagina's

Overgenomen van "https://www.noraonline.nl/index.php?title=ISOR_(Information_Security_Object_Repository)&oldid=18207"