SIVA-methodiek: verschil tussen versies

Versie van 18 sep 2019 11:11

De SIVA-methodiek is ontwikkeld door Wiekram N.B. Tewarie PhD. aan de Vrije Universiteit. De letters SIVA staan voor Structuur, Inhoud, Vorm en Analysevolgorde, de vier componenten van het SIVA-raamwerk.

De SIVA-methodiek maakt het mogelijk sluitende normenkaders te ontwikkelen en biedt handvatten om binnen een vastgestelde scope van een te normeren onderwerp te doordenken voor welke aspecten normen nodig zijn en die aspecten vervolgens gestructureerd uit te werken.

Om de volledigheid van dit denk- en ontwikkelproces te borgen wordt een matrix gehanteerd die ontstaat door het uitzetten van de dimensies Structuur en Inhoud (de eerste twee letters in ’SIVA’).

Tewarie’s dissertatie, A Structured Approach to IT Auditing – Model Based Development of Audit Terms of Reference, bevat de wetenschappelijke basis voor de SIVA-methodiek. Een verkorte Nederlandstalige beschrijving verscheen in 2015.

Matrix structuur- en inhoudsdomeinen[bewerken]

De structuurdomeinen zijn: Beleid, Uitvoering en Control; de inhoudsdomeinen: Intentie, Functie, Gedrag en Structuur. Zo ontstaat de volgende matrix:

Door nu uit bestaande kaders, zoals ISO27002, SoGP, etc. normen in deze matrix onder te brengen, wordt zichtbaar waar nog gaten zitten en wordt duidelijk waar aanvullingen nodig zijn. De uitkomst van een consequent doorgevoerde SIVA-aanpak is een complete en eenduidig geformuleerde beschrijving van de normen.

Syntax SIVA-methode[bewerken]

De volgende plaat maakt de syntax van een met SIVA beschreven norm duidelijk:

Verwerking resultaten SIVA-methodiek in de wiki van NORA[bewerken]

De SIVA-methode wordt gebruikt in de ISOR (Information Security Object Repository), die ontsloten wordt binnen de NORA wiki. Hiervoor is een aantal sleuteltermen omgezet naar semantische eigenschappen, zodat Themaprincipes en Alle Normen uit de ISOR gefilterd en gesorteerd kunnen worden op deze eigenschappen.

Structuurdomeinen geïmplementeerd als beveiligingsaspecten[bewerken]

Omdat de term domeinen al in gebruik was in de NORA met een andere betekenis zijn er andere benamingen gekozen: De structuurdomeinen zijn omgezet naar de Eigenschap:Beveiligingsaspect, uitgelegd op Alle beveiligingsaspecten. Op basis hiervan zijn drie overzichten beschikbaar van de gehele inhoud van de ISOR:

Daarnaast zijn er overzichten binnen elk normenkader.

Inhoudsdomeinen geïmplementeerd als invalshoeken[bewerken]

De Inhoudsdomeinen zijn omgezet naar de Eigenschap:Invalshoek, uitgelegd op Alle invalshoeken. Ook hier zijn er overzichtspagina's over de hele ISOR heen:

En er zijn overzichten van de invalshoeken binnen elk normenkader.

Themaprincipe met titel, criterium, doelstelling en risico[bewerken]

In de syntaxafbeelding van de SIVA-methode vormen de grijze velden (titel, hoofdnorm/criterium, doelstelling en risico) een logisch geheel. Om de normenkaders van de ISOR aan te laten sluiten op de Bindende Architectuurafspraken van de NORA is er voor elke titel een pagina van het type Themaprincipe aangemaakt:

Privacyprincipes voor de Privacy Baseline
Beveiligingsprincipes voor de overige normenkaders.

Dit kan doordat de hoofdnorm net als de NORA Basisprincipes en Afgeleide Principes richtinggevende uitspraken zijn, geformuleerd als stelling. Bij elk themaprincipe zijn Criterium, Doelstelling en Risico toegevoegd als semantische eigenschappen van het principe.

Onderstreept trefwoord geïmplementeerd als paarse conformiteitsindicator[bewerken]

Net als in de syntax-afbeelding zijn de trefwoorden binnen elk criterium gemarkeerd. Omdat online onderstrepen een link aangeeft is in plaats hiervan gekozen om trefwoorden in paars en cursief weer te geven. De naam trefwoord is als eigenschapsnaam te algemeen, dus zijn de trefwoorden van elk themaprincipe vastgelegd als eigenschap:conformiteitsindicator.

Uitgewerkte trefwoorden geïmplementeerd als gerelateerde normen[bewerken]

Het inhoudelijk uitgewerkte trefwoord bestaat in feite uit een of meer concrete maatregelen om het Themaprincipe te realiseren: als je alle concrete maatregelen hebt genomen is dat een indicator dat je conformeert aan het trefwoord (conformiteitsindicator), conformeer je aan alle trefwoorden dan kun je aannemen dat je het principe hebt gerealiseerd. Per concrete maatregel is dus in de ISOR een pagina aangemaakt van het elementtype Norm, waaraan de Stelling en eventuele toelichting zijn toegevoegd als eigenschappen. De eigenschap:conformiteitsindicator is ook per norm vastgelegd, evenals de relatie 'realiseert' tussen norm en themaprincipe.

Relaties themaprincipes en normen via conformiteitsindicatoren (trefwoorden)

Versie van 17 mei 2018 14:48 (brontekst bekijken) Jdirks2 (overleg \| bijdragen) k (update link) ← Oudere bewerking		Versie van 18 sep 2019 11:11 (brontekst bekijken) Eveliengentis (overleg \| bijdragen) k (categorie toevoeging) Nieuwere bewerking →
Regel 53:		Regel 53:

	[[Afbeelding:Relaties themaprincipes en normen.png\|thumb\|left\|500px\|Relaties themaprincipes en normen via conformiteitsindicatoren (trefwoorden)\|alt=Schema dat aangeeft hoe één themaprincipe uit de ISOR uiteen valt in drie conformiteitsindicatoren, die elk weer een of meerdere normen onder zich hebben.]]		[[Afbeelding:Relaties themaprincipes en normen.png\|thumb\|left\|500px\|Relaties themaprincipes en normen via conformiteitsindicatoren (trefwoorden)\|alt=Schema dat aangeeft hoe één themaprincipe uit de ISOR uiteen valt in drie conformiteitsindicatoren, die elk weer een of meerdere normen onder zich hebben.]]
			[[Categorie:SIVA]]