Bedrijfsfuncties voor beveiliging
- Onderdeel van
- Thema's
- Contact
- Guus van den Berg
- Guus.vandenberg@cip-overheid.nl
- Status
- Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging
Dit basisniveau is de resultante van maatregelen, die genomen wordt vanwege de kwaliteitseisen vanuit wet en regelgeving, standaarden, contractuele eisen, bedrijfsdoelstellingen en risico’s voor de organisatie, zoals geschetst in onderstaande figuur.
De normen in dit katern hebben betrekking op eisen die aan IT-voorzieningen moeten worden gesteld als we uitgaan van het basisniveau informatiebeveiliging voor de e-overheid. Dit niveau is gericht op de beveiliging van massale verwerking van persoons- en financiële gegevens. Sinds 1 maart 2013 zijn de CBP Richtsnoeren: “Beveiliging van persoonsgegevens” van kracht. Volgens de richtsnoeren dient iedere organisatie of keten zelf het beveiligingsniveau te bepalen afhankelijk van de context waarin de gegevens gebruikt worden. Brongegevens, die bepalend zijn voor het innen of uitkeren van gelden en gegevens met een hoog afbreukrisico voor bijvoorbeeld milieu, veiligheid, energie en dergelijke, behoren ook tot dit basisniveau.
Onderstaande figuur geeft een uitwerking van de elementen die het basisniveau beveiliging bepalen. Per laag is aangegeven waar de verantwoordelijkheid ligt voor het bepalen van de informatie om informatieveiligheid in te richten. De bedrijfslaag is van de business, die zich in organisaties aan de IT-kant laat vertegenwoordigen door Informatiemanagement. Linksboven in de figuur is de informatie aangegeven die het eerst beschikbaar moet zijn om de processen daaronder in de applicatie en technologielaag te kunnen inrichten. In het midden staan de de processen die nodig zijn voor het bepalen en managen van risico’s, als input voor het inrichten van het rechter deel: de security services (logische) en fysieke beveiligingsmaatregelen.
Maatregelen die niet in deze figuur expliciet zijn genoemd, maar wel mede het basisniveau beveiliging bepalen zijn: de monitoring processen van het Security Operating Centre (SOC), hoewel deze ook als security services kunnen worden aangemerkt.