Het onderwerp beveiliging
- Onderdeel van
- Thema's
- Contact
- Guus van den Berg
- Guus.vandenberg@cip-overheid.nl
- Status
- Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging
- Fysieke beveiliging: de veiligheid van gebouwen en terreinen;
- Personele veiligheid en integriteit: de veiligheid voor medewerkers en bezoekers en de invulling van de begrippen "goed werkgeverschap" en "goed burgerschap".
- Informatiebeveiliging: de beschikbaarheid, vertrouwelijkheid en integriteit van alle vormen van informatie en verwerking daarvan (zowel handmatig als geautomatiseerd);
- Bedrijfscontinuïteit: het omgaan met risico’s die de ongestoorde bedrijfsvoering van de organisatie bedreigen.
Scope NORA katern Beveiliging[bewerken]
De NORA richt zich op de samenwerking van overheidsorganisaties. Het katern beveiliging beschrijft voor die samenwerking, op basis van de BIR en de ISO-2700x-normen, de relevante beveiligingsdoelen, principes, eisen en oplossingsrichtingen voor de constructie van IT-systemen. Dit katern vervangt dus niet de BIR of ISO-norm, maar fungeert als wegwijzer en biedt de verschillende doelgroepen overzicht en inzicht in beveiligingsoplossingen.
Belang van beveiliging[bewerken]
Het halen van de bedrijfsdoelstellingen van moderne organisaties is in hoge mate afhankelijk van goed functionerende informatiesystemen. Uitval van computers, netwerken, personeel of gebouwen, het in het ongerede raken van gegevensbestanden of het onbevoegd kennis nemen dan wel manipuleren van gegevens, kunnen ernstige gevolgen hebben voor de continuïteit van de bedrijfsprocessen en de persoonlijke levenssfeer (privacy) van de betrokken klanten en partners van de organisatie. Als de organisatie deze risico's onvoldoende beheerst, kan het vertrouwen dat klant en partner in de organisatie stelt aanmerkelijk worden geschaad.
Beveiliging in z'n context[bewerken]
Door Beleidsterreinen van beveiliging in hun context op te delen in lagen zijn ze eenvoudiger te besturen. We onderscheiden drie hoofdgroepen: Beleid, Uitvoering en Control, waarbij zowel Beleid als Control worden onderverdeeld in een algemene en een specifieke laag, bedoeld voor concern- of lokale besturing.
Algemeen beleid[bewerken]
Deze laag bevat elementen die aangeven wat de organisatie in brede zin wil bereiken en bevat daarom conditionele en randvoorwaardelijke elementen die van toepassing zijn op de overige lagen, zoals doelstellingen, beleid, strategie en vernieuwing, organisatiestructuur en architectuur,
Specifiek beleid[bewerken]
Deze laag bevat specifieke conditionele aspecten die direct van toepassing zijn op de uitvoerende dienst, b.v. een applicatie. Deze aspecten kunnen worden afgeleid uit de elementen van de laag “algemeen beleid”,
Uitvoering[bewerken]
Deze laag omvat de implementatie van b.v. een IT dienst, zoals een Webapplicatie en de hieraan gerelateerde infrastructuur, zoals platform en netwerk,
Specifieke control[bewerken]
Deze laag bevat specifieke controle- en evaluatieaspecten ten aanzien van de uitvoerende dienst, b.v. een webapplicatie. Nagegaan wordt in hoeverre er voor de beheersing van de inrichting van de webapplicatie control instrumenten zijn ingebouwd. Dit is kortcyclisch van aard omdat in dit domein frequente evaluatie en meetmomenten plaatsvinden, waarbij de resultaten gericht is op het bijsturen van de webapplicatie.
Algemene control[bewerken]
Deze laag bevat het waarnemings- en beheersingsinstrument, de omgeving van waaruit de uitvoerende diensten worden beheerst. Deze controlfunctie is in het algemeen langcyclisch van aard, omdat het in dit domein evaluatie en metingen plaatsvinden waarvan de resultaten niet alleen gericht is op het bijsturen van de geïmplementeerde webapplicaties maar ook om het bijsturen van en/of aanpassen van de eerder geformuleerde conditionele elementen die gebaseerd zijn op “onzekere” informatie en aannames, visie en uitgestippeld beleid, afgesproken capaciteitbehoefte.