ISOR (Information Security Object Repository)
| De ISOR is in bewerking. De verwachting is dat eind 2020 de ISOR in de basis gereed zal zijn. De eerstvolgende normenkaders die in Q3 in de ISOR ontsloten zullen worden, zijn Softwarepakken en Middleware. |
| De ISOR wordt beheerd door het CIP. Contactpersoon: Annemieke de Wit |
De ISOR wordt beheerd door het CIP. Heb je vragen, toevoegingen, suggesties of anderszins, neem contact met het CIP op.
Werkingsgebied ISOR
Op het gebied van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. spelen de normenkaders ISO 27001 en ISO 27002 sinds jaar en dag een grote rol. De Rijksoverheid heeft op basis van deze kaders de Baseline Informatiebeveiliging Rijksdienst (BIR) ontwikkeld. Vervolgens heeft dat geresulteerd in varianten voor gemeenten (BIG), waterschappen (BIWA) en provincies (IBI). Die baselines bepalen een basisniveau voor de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen..
Een proces van convergentie heeft geleid tot de BIO. De BIO vervangt de BIR, BIR2017, BIG, BIWA en IBI. Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen., gebaseerd op de internationaal erkende en actuele ISO-normatiek. Om de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. bij alle bestuurslagen binnen de gehele overheid te verhogen, is sinds 2019 de Baseline Informatiebeveiliging Overheid (BIO) van kracht. Een PDF-versie van de BIO is te vinden op cip.overheid.nl/producten/bio. De BIO beschrijft het strategisch-tactische niveau.
Om deze baseline in de praktijk te implementeren, worden themagewijze uitwerkingen op tactisch-operationeel niveau gemaakt in de community van het Centrum Informatiebeveiliging en Privacybescherming (CIP), onder de naam BIO Thema-uitwerkingen. Voorbeelden van BIO Thema-uitwerkingen zijn clouddiensten en toegangsbeveiliging.
Deze BIO Thema-uitwerkingen, onder de naam 'Normenkaders', worden ontsloten in de ISOR. De ISOR is een bibliotheek onderverdeeld in normenkaders met te ontwerpen, beveiligen en beoordelen informatiebeveiligingsobjecten (in de ISOR beveiligingsprincipes genoemd).
Methode en indeling ISOR
Alle BIO Thema-uitwerkingen in de ISOR zijn geschreven volgens de SIVA-methode. SIVA staat voor Structuur, Inhoud, Vorm en Analysevolgorde. Deze methode maakt een overzichtelijke, eenduidige syntax mogelijk.
Door deze methode zijn beveiligingsprincipes (in de BIO Thema-uitwerkingen genoemd objecten) eenduidig verstaanbare normen (in de BIO Thema-uitwerkingen genoemd maatregelen), die de BIO concreet invullen. Elk criteria (in de BIO Thema-uitwerking genoemd control) is voorzien van een aantal Conformiteitsindicatoren, waarmee je kunt toetsen of aan de norm voldaan wordt.
Elke norm valt binnen een (of enkele) inhoudelijke onderwerpen, genoemd normenkaders (in het themadocument genoemd thema's). Een thema is een afgebakend gebied. Elk normenkader bevat objecten, ingedeeld in een van de drie aspecten (in het themadocument genoemd domein): beleid, uitvoering en control.
De BIO Thema-uitwerkingen hanteren termen die door de NORANederlandse Overheid Referentie Architectuur online een andere betekenis hebben. De volgende termen uit de BIO Thema uitwerkingen zijn in de ISOR vervangen door:
- Thema (BIO Thema-uitwerking) = normenkader (ISOR)
- Domein (BIO Thema-uitwerking) = beveiligingsaspect (ISOR)
- Object (BIO Thema-uitwerking) = beveiligingsprincipe (ISOR)
- Control (BIO Thema-uitwerking) = criteria (ISOR)
- Maatregel (BIO Thema-uitwerking) = norm (ISOR)
In de ISOR ontsloten normenkaders
Anders dan de term ISOR doet vermoeden, herbergt de ISOR naast de BIO-thema uitwerkingen ook de Privacy Baseline. Voor de Privacy Baseline zijn de privacyprincipes uit de wet AVG gefilterd en vertaald naar normen die gehaald moeten worden om aan de wet te voldoen. Zo komt de Baseline aan het karakter van een normenkader van het type dat in de ISOR gebruikt wordt voor de thema-uitwerkingen van Informatieveiligheid.
In de ISOR zijn de volgende normenkaders ontsloten:
- BIO Thema Applicatieontwikkeling
- BIO Thema Clouddiensten
- BIO Thema Communicatievoorzieningen
- BIO Thema Huisvesting Informatievoorziening
- BIO Thema Serverplatform
- BIO Thema Toegangsbeveiliging
- De Privacy Baseline
- Grip op Secure Software Development
Alle ISOR-overzichtspagina's
Naast de ontsloten normenkaders zijn er voor de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem de volgende overzichten beschikbaar:
- Alle conformiteitsindicatoren
- Alle invalshoeken
- Alle normen alle eigenschappen
- BIO Thema Huisvesting Informatievoorziening/alle normen alle eigenschappen
- Beveiligingsaspect Beleid
- Beveiligingsaspect Control
- Beveiligingsaspect Uitvoering
- Beveiligingsprincipes
- De Privacy Baseline/alle normen alle eigenschappen
- De Privacy Baseline/alle principes alle eigenschappen
- ISOR/normen tabel
- Normen
- Normenkaders
- Privacyprincipes
