Bedrijfsfuncties voor beveiliging

Uit NORA Online
(Doorverwezen vanaf Bedrijfsfuncties voor beveiliging)
Naar navigatie springen Naar zoeken springen


Onderdeel van
Thema's
Contact
Guus van den Berg
Guus.vandenberg@cip-overheid.nl
Status
Dit thema wordt momenteel opnieuw bekeken door de Expertgroep Beveiliging
Voor algemene beveiligingsrisico’s, d.w.z. risico’s die niet specifiek zijn voor één organisatie, spelen de standaards en best practices, die mede als referentie gelden voor dit katern, hierop voldoende in. Uit de combinatie van de bestaande kaders wordt het zogenaamde basisniveau beveiliging afgeleid.

Dit basisniveau is de resultante van maatregelen, die genomen wordt vanwege de kwaliteitseisen vanuit wet en regelgeving, standaarden, contractuele eisen, bedrijfsdoelstellingen en risico’s voor de organisatie, zoals geschetst in onderstaande figuur.

Waardoor het basisniveau beveiliging wordt bepaald

De normen in dit katern hebben betrekking op eisen die aan IT-voorzieningen moeten worden gesteld als we uitgaan van het basisniveau informatiebeveiliging voor de e-overheid. Dit niveau is gericht op de beveiliging van massale verwerking van persoons- en financiële gegevens. Sinds 1 maart 2013 zijn de CBP Richtsnoeren: “Beveiliging van persoonsgegevens” van kracht. Volgens de richtsnoeren dient iedere organisatie of keten zelf het beveiligingsniveau te bepalen afhankelijk van de context waarin de gegevens gebruikt worden. Brongegevens, die bepalend zijn voor het innen of uitkeren van gelden en gegevens met een hoog afbreukrisico voor bijvoorbeeld milieu, veiligheid, energie en dergelijke, behoren ook tot dit basisniveau.

Onderstaande figuur geeft een uitwerking van de elementen die het basisniveau beveiliging bepalen. Per laag is aangegeven waar de verantwoordelijkheid ligt voor het bepalen van de informatie om informatieveiligheid in te richten. De bedrijfslaag is van de business, die zich in organisaties aan de IT-kant laat vertegenwoordigen door Informatiemanagement. Linksboven in de figuur is de informatie aangegeven die het eerst beschikbaar moet zijn om de processen daaronder in de applicatie en technologielaag te kunnen inrichten. In het midden staan de de processen die nodig zijn voor het bepalen en managen van risico’s, als input voor het inrichten van het rechter deel: de security services (logische) en fysieke beveiligingsmaatregelen.

BasisniveauBeveiliging.png

Maatregelen die niet in deze figuur expliciet zijn genoemd, maar wel mede het basisniveau beveiliging bepalen zijn: de monitoring processen van het Security Operating Centre (SOC), hoewel deze ook als security services kunnen worden aangemerkt.