ISOR (Information Security Object Repository)

Binnen het domein van informatieveiligheid spelen de normenkaders ISO27001 en ISO27002 sinds jaar en dag een grote rol. De Rijksoverheid heeft op basis van deze kaders de zogenaamde Baseline Informatiebeveiliging Rijk (BIR) ontwikkeld. Vervolgens heeft dat ook geresulteerd in varianten voor gemeenten (BIG), waterschappen (BIWA) en provincies (IBI). Die baselines bepalen een basisniveau waarop de informatieveiligheid geregeld moet zijn. Inmiddels is een proces van convergentie gestart dat zal leiden tot één baseline voor de geheel overheid: De BIO.

De baselines hebben een strategisch-tactisch niveau. Voor de daadwerkelijke toepassing binnen organisaties is het nuttig, zo niet onmisbaar om over goede implementatierichtlijnen te kunnen beschikken en die ook themagewijs te kunnen inzetten. Vandaar dat er thema-uitwerkingen zijn gemaakt met richtlijnen. Deze uitwerkingen zijn van tactisch-operationeel niveau en zijn opgezet in een onoverzichtelijke, eenduidige syntax. Met de methode SIVA (Structuur, Inhoud, Vorm en Analysevolgorde). Voor geïnteresseerden zie http://vuuniversitypress.com/16-dtlas/99-siva.

Met deze uitwerkingen worden de baselines themagewijs voorzien van eenduidig verstaanbare normen. De normen zijn principe-gebaseerd (Beleidscontext: waarom deze norm?), hebben een uitvoeringsinstructie (Uitvoeringscontext: wat moet je doen om de norm in te vullen?) en zijn voorzien van auditcriteria (Control context: hoe toets je de conformiteit?)

In deze WIKI, de repository ISOR, worden de normen systematisch ondergebracht en ontsloten. Dit is een proces van geleidelijkheid. Maar wát erin zit, is al bruikbaar. U kunt de normen in verschillende bundelingen opvragen via de querypagina’s.

Als u een uitwerking zoekt die nog niet te vinden is in ISOR, zoek dan contact via het envelopje op de site www.cip-overheid.nl. Het kan namelijk zijn dat de uitwerking al wel bestaat, maar nog niet in ISOR is ondergebracht.