1206 ballaux dol_van_oss_presentatie_risicomodel

555 views

Published on

Bart Ballaux, Jermaine Dol, Jeroen van Oss - Één risicoclassificatie voor informatie: het Rotterdamse model

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
555
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
14
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

1206 ballaux dol_van_oss_presentatie_risicomodel

  1. 1. Bart Ballaux Één risicoclassificatieJermaine Dol voor informatie Het rotterdamse modelJeroen van Oss 13-6-2012
  2. 2. Opzet van de workshop1. Presentatie van het risicomodel (Jeroen)2. Workshop: test van het risicomodel met een proceseigenaar (Bart en Jermaine)3. Discussie: a. Zijn de vragen duidelijk, ook voor proceseigenaren? b. Leveren zij bruikbare kwaliteitsindicatoren op? c. Is risicoclassificatie in informatiebeheer op deze manier zinvol, werkbaar, verantwoord? 2 13-6-2012
  3. 3. Gewetensvraag: mag het een onsje minder?Kwaliteit informatiebeheer bij de overheid:a. Moet altijd op hetzelfde (wettelijke) niveau zijnb. Mag variabel zijn, afhankelijk van de eisen van de business 3 13-6-2012
  4. 4. Risicodenken in informatiebeheer wint steeds meer veldBaseline informatiehuishoudinggemeenten, norm 3:“Er zijn binnen de gemeente of bestuursorgaanrisicoklassen voor informatie gedefinieerd, met vooriedere klasse het vereiste beheerregime tenbehoeve van duurzame toegankelijkheid enbetrouwbaarheid van informatie”4 13-6-2012
  5. 5. Uitgangspunten rotterdams risicomodel informatiebeheerVoldoen aan de kwaliteitseisen van de ‘business’ en demaatschappijTegen zo laag mogelijke beheerlastenIntegratie informatiebeheer in ieder procesProceseigenaar is verantwoordelijkRisicomodel is concernkaderOnderdeel van de rotterdamseinformatiearchitectuurVerplichte toepassing bij iedere(her)inrichting van een proces5 13-6-2012
  6. 6. Aansluiting bij risicoclassificatie informatiebeveiligingRotterdamse standaard, gebaseerd op kwaliteitsnormen: Beschikbaarheid (=continuïteit van de ICT-diensten) Integriteit (=bescherming tegen onbevoegde mutatie/wissen) Vertrouwelijkheid (=bescherming tegen onbevoegde raadpleging) 6 13-6-2012
  7. 7. Goed te matchen met kwaliteitsnormen informatiebeheerInformatiebeveiligingRecords management(NEN ISO 15489) Integer Vindbaar Authentiek Integer Beschikbaar Raadpleegbaar Interpreteer- baar Vertrouwelijk 7 13-6-2012
  8. 8. Streven in Rotterdam: één risicoclassificatie voor informatieInvalshoeken: Informatiebeveiliging Open data Records management 8 13-6-2012
  9. 9. Onderdeel van de governance concernarchitectuur9 13-6-2012
  10. 10. Opzet van het rotterdams risicomodel informatiebeheer 1. Vragen risicomodel invullen per overheidsproces 2. Vereist kwaliteitsniveau per norm 3. Risicoklasse I-IV 4. Passend informatiebeheerregime10 13-6-2012
  11. 11. 1. Opbouw vragenlijst risicomodel 5. Uitkomst Stap 5: combinatie van eisen van vorige vier  stappen: voorstel i.v.m. beheer van proces  Risicoklasse & informatie 4. Procesinformatie Stap 4: identificatie van  Document‐ & workflow informatiestromen: eisen aan  gebruik van informatie Types & stadia 3. Procesverloop Stap 3: identificatie van spelers:  Spelers & rollen – gebruikers eisen aan proces & gebruik van  informatie 2. Procescontext Wet‐ en regelgeving Stap 2: identificatie van  regels: eisen aan proces &  Algemeen & specifiek informatie 1. Proceswaardering Classificatie van proces Stap 1: identificatie van proces (op  basis van eigenschappen/ Types processen eisen van proces)11 13-6-2012
  12. 12. 2. Kwaliteitsnormen en -niveau’sAuthenticiteit en integriteit 1. Niet zeker 2. Beschermd 3. Hoog 4. AbsoluutVindbaarheid 1. Mogelijk niet vindbaar 2. Vrijwel zeker vindbaar 3. Absoluut vindbaarRaadpleegbaarheid 1. Voor korte termijn (< 1 jaar) 2. Voor middellange termijn (1 - 7 jaar) 3. Voor lange termijn (> 7 jaar)Interpreteerbaarheid 1. Voor direct betrokkenen 2. Voor bredere kring binnen de organisatie 3. Voor belanghebbenden buiten de organisatie en door de tijd heen 4. Voor raadplegers op grote afstand en tijd 12 13-6-2012
  13. 13. 3. Risicoklasse, voorbeeld uitkomstAuthenticiteit/ Vindbaarheid Raadpleeg- Interpreteer- Risicoklasseintegriteit baarheid baarheid17pt=IV 19pt=IV 19pt=IV 14pt=IV IV13 13-6-2012
  14. 14. 4. Typen beheermaatregelenMetadata(basis: RichtlijnMetagegevens Overheid)Functionaliteit in applicaties(basis: NEN 2082)Inrichting beheerprocessen(basis: NEN-ISO 15489)14 13-6-2012
  15. 15. Nu is het woord aan jullie!Doorlopen van de vragenlijst met een ‘proceseigenaar’Jullie kunnen met groene en rode kaarten aangeven of: de vraag zinvol en duidelijk is Je het eens bent met het antwoordDiscussie op basis van de groene en rode kaarten15 13-6-2012

×