IFGS Intentie

Uit NORA Online
Ga naar: navigatie, zoeken

Op deze pagina staan alle Privacyprincipes en Beveiligingsprincipes in de invalshoek. Alle ISOR-objecten binnen deze context zijn ook te herkennen aan het symbool

Blauw vierkant kader met daarin in wit de I van Intentie


Alle objecten binnen deze invalshoek[bewerken]

IDTitellink
APO_B.01Beleid voor (beveiligd) ontwikkelen
APO_B.01.01De gangbare principes rondom Security by Design als uitgangspunt voor softwareontwikkeling
APO_B.01.02Grip op Secure Software Development' als uitgangspunt voor softwareontwikkeling
APO_B.01.03Overwegingen bij het beleid voor beveiligd ontwikkelen van software
APO_B.01.04Technieken voor beveiligd programmeren
APO_B.02Systeem-ontwikkelmethode
APO_B.02.01Software wordt ontwikkeld conform een formeel vastgestelde ontwikkelmethodologie
APO_B.02.02Softwareontwikkelaars zijn getraind om de ontwikkelmethodologie toe te passen
APO_B.02.03Adoptie van ontwikkelmethodologie wordt gemonitord
APO_B.02.04Software wordt ontwikkelen conform standaarden en procedures
APO_B.02.05De systeemontwikkelmethode ondersteunt dat de te ontwikkelen applicaties voldoen aan de vereisten
APO_B.02.06Het softwareontwikkeling wordt projectmatig aangepakt
APO_B.03Classificatie van informatie
APO_B.03.01Dataclassificatie' als uitgangspunt voor softwareontwikkeling
APO_B.03.02Informatie in alle informatiesystemen is conform expliciete risicoafweging geclassificeerd
APO_B.03.03Bij applicatieontwikkeling is informatie beschermd conform de vereisten uit het classificatieschema
APO_B.03.04Verplichtingen uit wet en regelgeving en organisatorische en technische requirements
APO_B.04Engineeringsprincipes voor beveiligde systemen
APO_B.04.01Security by Design als uitgangspunt voor softwareontwikkeling
APO_B.04.02Principes voor het beveiligen van informatiesystemen
APO_B.04.03Beveiliging is integraal onderdeel van systeemontwikkeling
APO_B.04.04Ontwikkelaars zijn getraind om veilige software te ontwikkelen
APO_B.05Business Impact Analyse (BIA)
APO_B.05.01Perspectieven bij de Business Impact Analyse
APO_B.05.02Scenario's voor de Business Impact Analyse
APO_B.05.03Vaststelling op welke wijze een eventueel compromitteren invloed heeft op de financiën van de organisatie
APO_B.06Privacy en bescherming persoonsgegevens
APO_B.06.01GEB om vooraf in het ontwerp de privacy en gegevensbeschermingsmaatregelen mee te nemen
APO_B.06.02procesbeschrijving voor het uitvoeren van GEB's en voor het opvolgen van de uitkomsten
APO_B.06.03Een tot standaard verheven GEB-toetsmodel wordt toegepast; dit model voldoet aan de in de AVG gestelde eisen
APO_B.06.04Privacy by Design en GEB als onderdeel van een tot standaard verheven risicomanagement aanpak
APO_B.06.05Risicomanagement aanpak aantoonbaar toegepast
APO_B.06.06Op basis van de AVG worden de principes Privacy by Design en Privacy by Default gehanteerd
APO_C.01Richtlijnen evaluatie-ontwikkelactiviteiten
APO_C.01.01Controle richtlijnen voor de evaluatie van de producten die uit de ontwikkelfasen voorvloeien
APO_C.01.02Evaluatierichtlijnen voor het evalueren van intern ontwikkelde en extern verworven code
APO_C.01.03Controle richtlijnen die binnen de relevante beheerprocessen worden toegepast
APO_C.01.04Het kwaliteitshandboek bevat procedures voor Quality Control en Quality Assurance methodiek en reviewrichtlijnen
APO_C.01.05De Quality Assurance methodiek wordt conform de richtlijnen nageleefd
APO_C.01.06Controleactiviteiten en rapportages over de ontwikkelactiviteiten en bijbehorende beheerprocessen
APO_C.01.07Het applicatieontwikkelproces, de testcyclus en programmacodekwaliteit worden periodiek beoordeeld
APO_U.01Wijzigingsbeheerprocedures voor applicaties en systemen
APO_U.01.01Voor het wijzigingsbeheer gelden de algemeen geaccepteerde beheer frameworks
APO_U.01.02Medewerkers (programmeurs) krijgen de juiste autorisatie om werkzaamheden te kunnen uitvoeren
APO_U.01.03Nieuwe systemen en belangrijke wijzigingen aan bestaande systemen volgen een formeel wijzigingsproces
APO_U.01.04Elementen van de procedures voor wijzigingsbeheer
APO_U.02Beperkingen software-installatie (richtlijnen)
APO_U.02.01Beleid ten aanzien van het type software dat mag worden geïnstalleerd
APO_U.02.02Het toekennen van rechten om software te installeren vindt plaats op basis van 'Least Privilege'
APO_U.02.03De rechten verleend op basis van de rollen van het type gebruikers en ontwikkelaars
... meer resultaten

Uitleg indeling[bewerken]

De ISOR (Information Security Object Repository) bevat normenkaders waarin beveiligingsprincipes of privacyprincipes en onderliggende normen zijn beschreven. Deze zijn conform de SIVA-methodiek ingedeeld naar Beleid, Uitvoering of Control en geordend naar één van de volgende invalshoeken: Intentie, Functie, Gedrag of Structuur. Vanuit elke invalshoek wordt een specifieke verzameling objecten geïdentificeerd.

IFGS IntentieIFGS FunctieIFGS GedragIFGS Structuurrelaties tussen Intentie, Functie, Gedrag en Structuur zoals ook in de tekst is aangegeven.
Over deze afbeelding


Deze invalshoeken hebben onderling de volgende relatie:

  • 'Intentie' wordt geëffectueerd door 'Functie'.
  • 'Functie' effectueert 'Intentie' en wordt geëffectueerd door 'Gedrag'.
  • 'Gedrag' effectueert 'Functie' en wordt geëffectueerd door 'Structuur'.
  • 'Structuur' effectueert 'Gedrag'.


Uitleg invalshoeken[bewerken]

De component inhoud is de tweede doorsnede van het onderzoeksgebied. Deze doorsnede wordt bereikt door middel van vier invalshoeken: intentie, functie, gedrag en structuur.

Intentie[bewerken]

Het waarom-aspect, ofwel de bestaansreden van een organisatie. Voorbeelden hiervan zijn: organisatie, visie, doelstellingen, wetten en beleid, stakeholders en middelen.

Functie[bewerken]

Het wat-aspect, ofwel de organisatorische en technologische elementen die de intenties van de organisatie moeten realiseren. Voorbeelden hiervan zijn: organisatorische en technische functies, processen, taken en taakvereisten.

Gedrag[bewerken]

Het hoe-aspect (gedragsaspect), ofwel de menselijke en technische resources en eigenschappen van de technische resources die de organisatorische en technische functies moeten vormgeven. Voorbeelden hiervan zijn: actor, object, interactie, toestand, eigenschap en historie.

Structuur[bewerken]

Het hoe-aspect (vormaspect), ofwel de manier waarop een organisatorische en personele structuur is vormgegeven. Voorbeelden hiervan zijn: business-organisatiestructuur, business- architectuur, IT-architectuur en business-IT-alignment.


De relaties tussen de objecten vanuit de invalshoeken kunnen als volgt worden gelezen: de elementen uit de doel-invalshoek reguleren en/of worden bereikt door elementen uit de functie-invalshoek. De elementen uit de functie-invalshoek gebruiken of realiseren de elementen uit de gedrag-invalshoek die op hun beurt worden vormgegeven door elementen uit de structuur-invalshoek.

Invalshoeken niet gebruikt bij De Privacy Baseline[bewerken]

De verdeling naar Intentie, Functie, Gedrag en Structuur betreft de kern van het SIVA-methodiek en heeft tot doel lacunes te ontdekken in de objectanalyse die leidt tot normen. Deze indeling is voor de opzet van de Privacy Baseline niet gebruikt: het object is immers niet Privacy, maar de Privacywet. Het is niet de opzet geweest om de wet te toetsen op volledigheid en consistentie. De opzet van de Baseline is de gebruiker een handzame en geannoteerde lijst van toetsbare criteria mee te geven die aan de wet zijn ontleend. Omdat de invalshoeken bij het opstellen van de normen voor de Privacy Baseline geen rol hebben gespeeld, is bij de invalshoek "Onbekend" ingevuld.