Het onderwerp beveiliging

Uit NORA Online
Naar navigatie springen Naar zoeken springen


Onderdeel van
Thema's
Contact
Guus van den Berg
Guus.vandenberg@cip-overheid.nl
Status
Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging
Beveiliging is de mate waarin risico’s kunnen worden gereduceerd tot een aanvaardbaar niveau. 100% veilig is een illusie. De aandacht moet gericht zijn op voldoende weerbaarheid. Wat ‘voldoende’ is wordt voor organisaties zowel bepaald door de bedrijfsvoering als vanuit wet en regelgeving. Weerbaarheid wordt bepaald voor de volgende beleidsterreinen:
  • Fysieke beveiliging: de veiligheid van gebouwen en terreinen;
  • Personele veiligheid en integriteit: de veiligheid voor medewerkers en bezoekers en de invulling van de begrippen "goed werkgeverschap" en "goed burgerschap".
  • Informatiebeveiliging: de beschikbaarheid, vertrouwelijkheid en integriteit van alle vormen van informatie en verwerking daarvan (zowel handmatig als geautomatiseerd);
  • Bedrijfscontinuïteit: het omgaan met risico’s die de ongestoorde bedrijfsvoering van de organisatie bedreigen.
Beleidsterreinen van beveiliging en de scope waar het NORA katern zich op richt

Scope NORA katern Beveiliging[bewerken]

De NORA richt zich op de samenwerking van overheidsorganisaties. Het katern beveiliging beschrijft voor die samenwerking, op basis van de BIR en de ISO-2700x-normen, de relevante beveiligingsdoelen, principes, eisen en oplossingsrichtingen voor de constructie van IT-systemen. Dit katern vervangt dus niet de BIR of ISO-norm, maar fungeert als wegwijzer en biedt de verschillende doelgroepen overzicht en inzicht in beveiligingsoplossingen.

Belang van beveiliging[bewerken]

Het halen van de bedrijfsdoelstellingen van moderne organisaties is in hoge mate afhankelijk van goed functionerende informatiesystemen. Uitval van compu­ters, netwerken, personeel of gebouwen, het in het ongerede raken van gegevensbestanden of het onbe­voegd kennis nemen dan wel manipuleren van gegevens, kunnen ernstige gevolgen hebben voor de continuïteit van de bedrijfsprocessen en de per­soonlijke levenssfeer (privacy) van de betrokken klanten en partners van de organisatie. Als de organisatie deze risico's onvoldoende beheerst, kan het ver­trouwen dat klant en partner in de organisatie stelt aanmerkelijk worden geschaad.

Beveiliging in z'n context[bewerken]

Door Beleidsterreinen van beveiliging in hun context op te delen in lagen zijn ze eenvoudiger te besturen. We onderscheiden drie hoofdgroepen: Beleid, Uitvoering en Control, waarbij zowel Beleid als Control worden onderverdeeld in een algemene en een specifieke laag, bedoeld voor concern- of lokale besturing.

Gelaagdheid van aandachtsgebieden

Algemeen beleid[bewerken]

Deze laag bevat elementen die aangeven wat de organisatie in brede zin wil bereiken en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, beleid, strategie en vernieuwing, organisatiestructuur en architectuur,

Specifiek beleid[bewerken]

Deze laag bevat specifieke conditionele aspecten die direct van toepassing zijn op de uitvoerende dienst, b.v. een applicatie. Deze aspecten kunnen worden afgeleid uit de elementen van de laag “algemeen beleid”,

Uitvoering[bewerken]

Deze laag omvat de implementatie van b.v. een IT dienst, zoals een Webapplicatie en de hieraan gerelateerde infrastructuur, zoals platform en netwerk,

Specifieke control[bewerken]

Deze laag bevat specifieke controle- en evaluatieaspecten ten aanzien van de uitvoerende dienst, b.v. een webapplicatie. Nagegaan wordt in hoeverre er voor de beheersing van de inrichting van de webapplicatie control instrumenten zijn ingebouwd. Dit is kortcyclisch van aard omdat in dit domein frequente evaluatie en meetmomenten plaatsvinden, waarbij de resultaten gericht is op het bijsturen van de webapplicatie.

Algemene control[bewerken]

Deze laag bevat het waarnemings- en beheersingsinstrument, de omgeving van waaruit de uitvoerende diensten worden beheerst. Deze controlfunctie is in het algemeen langcyclisch van aard, omdat het in dit domein evaluatie en metingen plaatsvinden waarvan de resultaten niet alleen gericht is op het bijsturen van de geïmplementeerde webapplicaties maar ook om het bijsturen van en/of aanpassen van de eerder geformuleerde conditionele elementen die gebaseerd zijn op “onzekere” informatie en aannames, visie en uitgestippeld beleid, afgesproken capaciteitbehoefte.