ISOR (Information Security Object Repository)

Uit NORA Online
(Doorverwezen vanaf Isor)
Ga naar: navigatie, zoeken
De ISOR is in bewerking. De themadocumenten die in de afgelopen 2 jaar zijn gepubliceerd worden ingrijpend gewijzigd. Dat betreft niet zozeer de normen voor beleid, uitvoering en control zelf - hoewel het niet uitgesloten is dat ook daar wat aanpassingen of aanvullingen zullen zijn - maar vooral de structurering van de documenten, de onderlinge vergelijkbaarheid en het verplaatsen van delen van de inhoud naar gemeenschapelijke pagina's.
De themadocumenten waren tot op heden vooral 'papieren documenten', die ook min of meer als zodanig in de WIKI zijn geplaatst. Nu streven we naar een overal-structuur die meer past bij de mogelijkheden die een WIKI biedt.
Logo ISOR (vier hangsloten die in elkaar geklikt zitten met de tekst Information Security Object Repository)
De ISOR wordt beheerd door het CIP.
Contactpersoon: Annemieke de Wit
annemieke.dewit@cip-overheid.nl

De ISOR wordt beheerd door het CIP. Heb je vragen, toevoegingen, suggesties of anderszins, neem dan contact op met het CIP.

Werkingsgebied ISOR

Op het gebied van informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. spelen de normenkaders ISO 27001 en ISO 27002 sinds jaar en dag een grote rol. De Rijksoverheid heeft op basis van deze kaders de Baseline Informatiebeveiliging Rijksdienst (BIR) ontwikkeld. Vervolgens heeft dat geresulteerd in varianten voor gemeenten (BIG), waterschappen (BIWA) en provincies (IBI). Die baselines bepalen een basisniveau voor de informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen..


Een proces van convergentie heeft geleid tot de Baseline Informatiebeveiliging Overheid (BIO). De BIO vervangt de BIR, BIR2017, BIG, BIWA en IBI. Hiermee is één gezamenlijk normenkader ontstaan voor informatieveiligheid, gebaseerd op de internationaal erkende en actuele ISO-normatiek. Om de informatieveiligheid bij alle bestuurslagen binnen de gehele overheid te verhogen, is sinds 2019 de BIO wettelijk van kracht. Een PDF-versie van de BIO is te vinden op cip.overheid.nl/producten/bio. De BIO beschrijft het strategisch-tactische niveau.


Om deze baseline in de praktijk te implementeren, worden themagewijze uitwerkingen op tactisch-operationeel niveau gemaakt in de community van het Centrum Informatiebeveiliging en Privacybescherming (CIP), onder de naam BIO Thema-uitwerkingen. Deze BIO Thema-uitwerkingen ('Normenkaders'), worden ontsloten in de ISOR. De ISOR is een bibliotheek van normenkaders voor te beveiligen informatiebeveiligingsobjecten. Voorbeelden van BIO Thema-uitwerkingen zijn 'Clouddiensten' en 'Toegangsbeveiliging'.


Methode en indeling ISOR

Alle BIO Thema-uitwerkingen in de ISOR zijn geschreven volgens de SIVA-methode. SIVA staat voor Structuur, Inhoud, Vorm en Analysevolgorde. Deze methode biedt een syntax voor overzichtelijke, eenduidige formulering van normen. Hierdoor zijn de beveiligingsprincipes eenduidig verstaanbaar en concreet toetsbaar, waarmee een praktische, concrete invulling van de BIO wordt geboden. Een BIO thema-uitwerking behandelt op deze wijze de normen binnen een afgebakend gebied, ingedeeld in een van de drie aspecten ('domeinen'): beleid, uitvoering en control.


De BIO Thema-uitwerkingen hanteren termen die binnen NORANederlandse Overheid Referentie Architectuur online een andere betekenis hebben. De volgende termen uit de BIO Thema uitwerkingen zijn in de ISOR vervangen door:

  • Thema (BIO Thema-uitwerking) = normenkader (ISOR)
  • Domein (BIO Thema-uitwerking) = beveiligingsaspect (ISOR)
  • Object (BIO Thema-uitwerking) = beveiligingsprincipe (ISOR)
  • Control (BIO Thema-uitwerking) = criterium (ISOR)
  • Maatregel (BIO Thema-uitwerking) = norm (ISOR)

In de ISOR ontsloten normenkaders

Anders dan de term ISOR doet vermoeden, herbergt de ISOR naast de BIO-thema uitwerkingen ook de Privacy Baseline. Voor de Privacy Baseline zijn de privacyprincipes uit de wet AVG gefilterd en vertaald naar normen die gehaald moeten worden om aan de wet te voldoen. Zo komt de Baseline aan het karakter van een normenkader van het type dat in de ISOR gebruikt wordt voor de thema-uitwerkingen van Informatieveiligheid. Omdat ook de privacyprincipes zijn geformuleerd volgens de SIVA-methode en omdat het begrip 'informatiebeveiligingHet proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.' nu is verbreed tot 'informatieveiligheid', past de Privacy Baseline ook om die redenen in de verzameling.

In de ISOR zijn de volgende normenkaders ontsloten:

Alle ISOR-overzichtspagina's

Naast de ontsloten normenkaders zijn er voor de gebruikerIedere persoon, organisatie of functionele eenheid die gebruik maakt van een informatiesysteem de volgende overzichten beschikbaar: