Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Studiemodel informatiebeveiliging overheid

315 views

Published on

BIG/BIR/BIO Informatiebeveiliging

Published in: Government & Nonprofit
  • Be the first to comment

  • Be the first to like this

Studiemodel informatiebeveiliging overheid

  1. 1. Studiemodel Informatiebeveiliging • Baseline Informatiebeveiliging Overheid • Relatie met gerelateerde organisatie- elementen in één volledige repository • Conform ArchiMate (eenvoudig weer om te zetten naar ‘gewone’ bedrijfsvoeringstaal 12-02-2016 De sheets in deze presentatie hebben nog de aard van een studiemodel. Momenteel wordt dit model in een pilot met een daad- werkelijke repository getest en getoetst bij de Auditdienst Rijk Dhammika van Gent Solution Architect Public
  2. 2. Het organisatie- en formatierapport (O&F-rapport) van de organisatie bevat informatie over de missie, hoofdtaken (kerntaken) en structuur van de organisatie. BIR in het Rijksmodel APM Kerntaak Ministerie Motivatielaag Kerntaken 2
  3. 3. BIR in het Rijksmodel APM 3 Van Kerntaken naar de levering van producten/diensten door middel van bedrijfsprocessen met behulp van mensen en middelen en onder bepaalde randvoorwaarden. Bedrijfsproces Deel- proces Vraag Melding Incident Zaak Product Beslissing Actie Sanctie van gebeurtenis… …tot dienst Besturing MiddelenOrganisatie Deel- proces Deel- proces
  4. 4. BIR in het Rijksmodel APM 4 Van Kerntaken naar de levering van producten/diensten door middel van bedrijfsprocessen met behulp van mensen en middelen en onder bepaalde randvoorwaarden (constraints). Bedrijfsproces Vraag Melding Incident Zaak Product Beslissing Actie Sanctie Applicatie Applicatie Applicatie Gegevens Gegevens Gegevens van gebeurtenis… …tot dienst Organisatie MiddelenBesturing Deel- proces Deel- proces Deel- proces
  5. 5. BIR in het Rijksmodel APM 5 Een functie levert een of meerdere helder omschreven producten/diensten. Als we dit op elektronische wijze doen, spreken we over services. Archimate Business Product Business Function levert Business Service Business Service Business Function levert = Business Process Business Event Business Object
  6. 6. BIR in het Rijksmodel APM 6 Een Business Service is de bijdrage die vanuit de organisatie wordt geleverd aan de omgeving. Een Business Service levert een Product/Dienst welke zijn vastgelegd in een PDC (Producten/Diensten Catalogus) Archimate Binnen het APM-model wordt een Business Service weergeven door middel van Taken binnen de bedrijfslaag. Business Product Business Service Business Service Product/Dienst Taak Taak
  7. 7. BIR in het Rijksmodel APM 7 Producten en Diensten Product/Dienst Bedrijfslaag
  8. 8. BIR in het Rijksmodel APM 8 Product/Dienst
  9. 9. BIR in het Rijksmodel APM 9 Taak Taken Bedrijfslaag
  10. 10. BIR in het Rijksmodel APM 10 Door de organisatie worden randvoorwaarden (constraints) gesteld waaronder een taak moet worden uitgevoerd. Archimate Een van de randvoorwaarden is de Baseline Informatiebeveiliging Rijksdienst (BIR). Randvoorwaarde Randvoorwaarde Product/Dienst Taak Taak
  11. 11. BIR in het Rijksmodel APM 11 Informatiebeveiliging De volgende uitgangspunten voor informatiebeveiliging worden binnen de Rijksoverheid gehanteerd: 1. Informatiebeveiliging is onderdeel van de integrale beveiliging. Het dient hiermee bij te dragen aan de beveiliging van de organisatie en haar informatie, en aan de realisatie van de organisatiedoelstellingen. 2. Het juiste niveau van informatiebeveiliging komt tot stand op basis van risicomanagement . Bestaande kaders en wetgeving bepalen hierbij het minimumniveau. Relevant in dit verband zijn: a. Beveiligingsvoorschrift Rijksdienst (BVR 2013) b. Besluit Voorschrift Informatiebeveiliging Rijksdienst 2007 (VIR 2007); c. Baseline Informatiebeveiliging Rijksdienst (BIR 2012); d. Besluit Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie (VIR-BI 2013); e. Wet Bescherming Persoonsgegevens (WBP); f. Archiefwet 1995. 3. Elk informatiesysteem heeft een opdrachtgever (in het VIR: eigenaar van het informatiesysteem genoemd) die verantwoordelijk is voor het risicomanagement dat op het informatiesysteem wordt toegepast. Voor een informatiesysteem dat directie- of departementsoverstijgend is en waar meerdere dienstonderdelen van afhankelijk zijn, wordt een eigenaar aangewezen. 4. De proceseigenaar is er voor verantwoordelijk dat het proces van risicomanagement conform het VIR 2007 inzichtelijk en toetsbaar is. 5. Conform het VIR is het lijnmanagement verantwoordelijk voor het periodieke in-control statement. Tevens dient, conform de BIR, opzet/bestaan en werking van IB maatregelen aantoonbaar te worden getoetst.
  12. 12. BIR in het Rijksmodel APM 12 Informatiebeveiliging Voor de beveiliging van informatiesystemen worden beveiligingsmaatregelen getroffen. Deze maatregelen worden getroffen om de beschikbaarheid, de integriteit en de vertrouwelijkheid (drie kenmerken van betrouwbaarheid) van de informatie in de systemen te waarborgen. De maatregelen dienen zodanig te zijn dat de beveiliging aansluit bij de eisen die de betrokken werkprocessen hieraan stellen. Tevens volgt uit de ‘kwetsbaarheidsanalyse spionage’ die in opdracht van het kabinet Balkenende IV is ingevoerd, dat men processen (en de informatie hierin) moet beoordelen op de kwetsbaarheid voor spionageactiviteiten (KWAS). VIR spreekt over “de systemen” in een organisatie. Dit kunnen voor de hele rijksoverheid duizenden systemen zijn. Het is dus praktisch om een prioriteit te stellen bij de “bedrijfskritische” systemen. Dat wil zeggen bij systemen die bij falen de tijdigheid en kwaliteit van het product of de dienst van een organisatie in gevaar brengen (TBB: ‘te beschermen belangen’ ). De organisatie moet alle systemen uiteraard wel in kaart hebben gebracht en moet dit ook inzichtelijk kunnen maken voor interne of externe audits. Het lijnmanagement dient vanuit haar werkprocessen in kaart te brengen welke betrouwbaarheidseisen deze stellen aan de gebruikte informatiesystemen. Dit dient elke twee jaar te gebeuren of bij significante wijzigingen in de werkprocessen. In de Planning & Controlcyclus dienen afspraken gemaakt te worden over: • jaarlijkse check van de vereiste betrouwbaarheid (vanuit de werkprocessen) versus de geboden betrouwbaarheid (vanuit de gebruikte informatiesystemen); • handhaving en naleving van gebruikersreglementen.
  13. 13. BIR in het Rijksmodel APM 13 Informatiebeveiliging Stappenplan risicomanagement 1 – Risicoanalyse (vaststellen betrouwbaarheidseisen) 1.1 Benoem de taak en wijs een taakeigenaarschap toe (lijnmanagement) 1.2 Stel vast welke applicatie (of applicaties) binnen het proces worden gebruikt (taakeigenaar) 1.3 Stel, aan de hand van een risicoanalyse, de betrouwbaarheidseisen op waaraan de taak moet voldoen (taakeigenaar) 1.4 Stel het document ‘risicoanalyse’ vast (lijnmanagement) 2 – Opstellen informatiebeveiligingsplan 2.1 Als het betrouwbaarheidsniveau of dreigingenniveau de BIR niet overstijgt, is de BIR kaderstellend voor de inrichting van het systeem en de systeemomgeving (ICT leverancier) 2.2 Als het betrouwbaarheidsniveau of dreigingenniveau de BIR overstijgt, worden op BIR aanvullende maatregelen getroffen. (taakeigenaar) 2.3 Indien het vereiste betrouwbaarheidsniveau de BIR niet overstijgt, bestaat deze stap uit een toelichting op de implementatie van BIR-maatregelen. Indien het niveau de BIR overstijgt, wordt de toelichting op de implementatie van BIR-maatregelen aangevuld met specifiek toepasselijke maatregelen. (taakeigenaar) 2.4 Verwijs indien van toepassing en mogelijk (bijvoorbeeld bij het afnemen van generieke of gedeelde dienstverlening) naar algemene beheersmaatregelen in de ICT omgeving. (taakeigenaar) 2.5 Bepaal eventuele restrisico’s. Indien restrisico’s uitsluitend een procesrisico met zich meebrengen, kan de proceseigenaar restrisico’s accepteren. (taakeigenaar) 2.6 Bepaal welke restrisico’s tijdelijk zijn, en stel een verbeterplan op. 2.7 Stel het informatiebeveiligingsplan op
  14. 14. BIR in het Rijksmodel APM 14 Informatiebeveiliging en APM Uitgangspunten m.b.t. de vastlegging van de informatiebeveiligingsaspecten in het Rijksmodel APM: - de vastlegging moet alle processen en producten m.b.t. informatiebeveiliging binnen een ministerie ondersteunen - moet zowel taak als applicatie specifieke informatiebeveiligingsaspecten ondersteunen - moet zelfstandig zonder APM kunnen worden gebruikt - moet eenvoudig kunnen worden toegepast - moet de benodigde rapportages bevatten - moet de planning & control cyclus ondersteunen - moet ook geschikt zijn om te worden toegepast buiten de Rijksoverheid - ..
  15. 15. BIR in het Rijksmodel APM 15 Taak Velden: - Taaknaam (tekstveld) - Taakomschrijving (tekstveld) - … - Taakeigenaar (1-N) - Gerelateerde kerntaken (1-N) - Gerelateerde producten/diensten (1-N) - Gerelateerde bedrijfsprocessen (1-N) - Te Beschermen Belangen (TBB) velden: (zie volgende sheets) - Quick Scan (QS) velden: (zie volgende sheets) - BIR-velden: (zie volgende sheets) Link naar onderliggende documenten in Document Management Systeem
  16. 16. BIR in het Rijksmodel APM 16 Taak Te Beschermen Belangen (TBB) velden: - Datum laatste TBB-analyse (datumveld) - TBB niveau (Zeer hoog, Hoog, Midden, Laag, n.v.t.) - Op risicokaart (Ja, Nee)
  17. 17. BIR in het Rijksmodel APM 17 Taak Quick Scan velden: - Datum laatste Quick Scan-analyse - Boven BIR (ja/nee) - Risico-analyse nodig (ja/nee) - Datum laatste Risico-analyse Quick Scan Betrouwbaarheidseisen: - beschikbaarheid van de informatie (zeer hoog, hoog, midden, laag, zeer laag) - vertrouwelijkheid van de informatie (zeer hoog, hoog, midden, laag, zeer laag) - integriteit van de informatie (zeer hoog, hoog, midden, laag, zeer laag) - dreigingsprofiel (BIR, anders dan BIR)
  18. 18. BIR in het Rijksmodel APM 18 Taak Quick Scan velden: - Classificatie van de Taak: (Kritisch strategisch, Strategisch, Bijdragend, Ondersteunend) - Classificatie applicaties Quick Scan BIR: Vitale applicaties voor deze taak - applicatie 1 (mapping naar applicatie) - applicatie 2 (mapping naar applicatie) - …. Nuttige applicaties voor deze taak - applicatie 3 (mapping naar applicatie) - applicatie 4 (mapping naar applicatie) - …. Ondersteunende applicaties voor deze taak - applicatie 5 (mapping naar applicatie) - applicatie 6 (mapping naar applicatie) - ….
  19. 19. BIR in het Rijksmodel APM 19 BIR velden: - Document betrouwbaarheidseisen aanwezig? (Ja/Nee) - Document maatregelen aanwezig? (Ja/Nee) - Document verbeterplan/risicoacceptatie aanwezig? (Ja/Nee) - BIR normen voor deze taak: - BIR norm (mapping naar BIR normen) - BIR norm (mapping naar BIR normen) - BIR norm (mapping naar BIR normen) - …. Taak
  20. 20. BIR in het Rijksmodel APM 20 BIR velden: - BIR norm voor deze applicatie: - BIR norm (mapping naar BIR normen) - BIR norm (mapping naar BIR normen) - BIR norm (mapping naar BIR normen) - …. Applicatie
  21. 21. BIR in het Rijksmodel APM 21 BIR Implementatie BIR normen vastleggen
  22. 22. BIR in het Rijksmodel APM 22 BIR Implementatie BIR normen vastleggen
  23. 23. BIR in het Rijksmodel APM 23 BIR Implementatie Om te voldoen aan de ISO 27001 dient men de BIR als volgt toe te passen: 1 – De toepasselijkheid van elke norm uit de BIR moet worden overwogen 2 – Als een norm niet van toepassing is, moet dat worden verklaard met een toelichting 3 – Als een norm van toepassing is, dient deze te worden geoperationaliseerd 4 – Als een norm van toepassing is, maar de keuze wordt gemaakt deze niet (of gedeeltelijk) te operationaliseren, dient aan de basis hiervan een risicoafweging te staan 5 – Als een norm van toepassing is, maar niet (of gedeeltelijk) geoperationaliseerd is, dient het ‘Explainproces’ te worden gevolgd
  24. 24. BIR in het Rijksmodel APM 24 BIR comply or explainprocedure - Het toetsen vindt plaats aan de hand van de in-control verklaring. - De in-control verklaring geeft inzicht aan welke BIR normen wordt voldaan en voor welke BIR normen een explain is gedefinieerd. - Een explain is een door de verantwoordelijke lijnmanager1) geaccepteerde verklaring waarom aan bepaalde normen uit de BIR niet wordt voldaan. - De BIR bevat de hoofdstukindeling en de normen uit ISO 27001 (bijlage A). Alle 1, 2 en 3 cijferige zijn direct overgenomen. Hieraan moet samen met de R-normen verplicht worden voldaan. - Daarnaast bevat de BIR normen met een 4 cijferige nummering die niet met een R zijn gemerkt. Dat zijn suggesties voor een goede invulling van de BIR. Die normen zijn niet verplicht. - Een explain moet worden opgesteld voor elk restrisico of niet ingevulde BIR norm: 1. een BIR norm die voor de betreffende situatie wel van toepassing is maar waar niet aan voldaan wordt 2. een BIR norm die volgens de eigenaar van een systeem voor de betreffende situatie niet van toepassing is 3. overige bij een risicoanalyse gesignaleerde restrisico’s 1) Verantwoordelijk lijnmanager: dit is de lijnmanager die door de SG, die volgend het VIR verantwoordelijk is, is gemandateerd. Het lijnmanagement is verantwoordelijk voor de kwaliteit van zijn eindproduct en daarmee ook voor de beveiliging van zijn informatiesystemen. Bij ketens, generieke diensten en gezamenlijke diensten wordt een partij gemandateerd om op te treden als eigenaar namens de betrokken de verschillende betrokken lijnmanagers. De lijnmanagers houden dan wel toezicht op de goede uitvoering van het systeemeigenaarschap.
  25. 25. BIR in het Rijksmodel APM 25 BIR comply or explainprocedure Een explain-verklaring bevat: - referentienummer explain (= koppeling naar explain-registratiesysteem) - de BIR norm waarop de explain betrekking heeft (= koppeling naar BIR) - datum explain - status explain - reden waarom niet (nog) niet wordt voldaan de BIR norm - risico explain voor de eigen organisatie - risico explain voor andere organisaties (+ verklaring welke organisaties) - reden van acceptatie van de explain - geldigheid explain (duurzaam of tijdelijk met vermelding van datum) - verantwoordelijke organisatie - actiehouder - lijnmanager
  26. 26. BIR in het Rijksmodel APM 26 BIR Implementatie BIR normen velden: Fit/Gap analyse velden: - Norm van toepassing? (Ja/Nee) - Toelichting norm n.v.t. (Tekst) - Norm geoperationaliseerd? (volledig, gedeeltelijk, niet) - Toelichting operationalisering norm (Tekst) Risico analyse velden: - Risico’s voor eigen organisatie (Tekst) - Risico’s voor andere organisaties (Tekst) - Acceptatie risico’s? (Ja/Nee) - Toelichting acceptatie risico’s (Tekst) Explain velden: - Datum explain (Datum) - Status explain (beschreven, ter goedkeuring, goedgekeurd, afgekeurd) - Datum status explain - Toelichting explain (Tekst) - Mitigerende explain maatregelen (Tekst) - Verantwoordelijke explain organisatie (Tekst) - Actiehouder explain (Tekst) - Geldigheid explain (duurzaam/tijdelijk) - Einddatum geldigheid explain (Datum, indien tijdelijk)
  27. 27. BIR in het Rijksmodel APM 27 BIR Implementatie BIR normen vastleggen
  28. 28. BIR in het Rijksmodel APM 28 BIR Implementatie BIR normen vastleggen
  29. 29. BIR in het Rijksmodel APM 29 BIR Implementatie BIR normen rapportages - Fit/Gap rapportage
  30. 30. BIR in het Rijksmodel APM 30 BIR Implementatie Let op: als een taak gebruik maakt van generieke applicaties en generieke rekencentra, dan hoeft de eigenaar van de taak de BIR normen voor die domeinen niet te realiseren. Het is wel van belang dat deze generieke normen zijn gerealiseerd en inzichtelijk zijn voor de verschillende eigenaren. * Lees: Generieke of gemeenschappelijke: Generiek (Rijksbrede ICT producten en diensten, BZK is eigenaar) of Gemeenschappelijk (meerdere eigenaren, één hiervan wordt aangewezen als gemandateerd eigenaar) Lijnmanager Eigenaar taak Rol Rol Generieke normenNormen in organisatie Generieke normen in organisatie (organisatie breed) Ja Nee Specifieke normen in organisatie (lijnmanager) Generieke* applicatie Ja Nee Normen generieke applicaties (eigenaar generieke app.) Normen specifieke applicaties (eigenaar taak) Generieke* reken- centra Rol Ja Nee Normen generieke rekencentra (organisatie breed) Normen specifieke rekencentra (eigenaar taak)
  31. 31. BIR in het Rijksmodel APM 31 BIR Implementatie BIR Normen in organisatie: BIR Hoofdstuk: 5 – Beveiligingsgbeleid 6 – Organisatie van de informatiebeveiliging 7 – Beheer van bedrijfsmiddelen 8 – Personele beveiliging 13 – Beheer van Informatiebeveiligingsincidenten 14 – Bedrijfscontinuïteitsbeheer 15 – Naleving Alleen als voor een specifieke taak de ‘Generieke normen in organisatie’ niet voldoende zijn moeten specifieke maatregelen worden getroffen. Onder andere op basis van de resultaten van een Quick Scan (classificatie boven BIR). Lijnmanager Rol Generieke normenNormen in organisatie Generieke normen in organisatie (organisatie breed) Ja Nee Specifieke normen in organisatie (lijnmanager)
  32. 32. BIR in het Rijksmodel APM 32 BIR Implementatie BIR Normen applicaties: BIR Hoofdstuk: 10 – Beheer van Communicatie- en Bedieningsprocessen 11 – Toegangsbeveiliging 12 – Verwerving, ontwikkeling en onderhoud van informatiesystemen Normen met betrekking tot generieke applicaties worden beschreven door de eigenaar van de generieke applicatie. * Lees: Generieke of gemeenschappelijke applicatie. Eigenaar taak Rol Generieke applicatie Ja Nee Normen generieke applicaties (eigenaar generieke app.*) Normen specifieke applicaties (eigenaar taak)
  33. 33. BIR in het Rijksmodel APM 33 BIR Implementatie BIR Normen rekencentra: BIR Hoofdstuk: 9 – Fysieke beveiliging en beveiliging van de omgeving Normen met betrekking tot specifieke rekencentra moeten door de taak eigenaar worden beschreven. Eigenaar taak Generieke reken- centra Rol Ja Nee Normen generieke rekencentra (organisatie breed) Normen specifieke rekencentra (eigenaar taak)
  34. 34. BIR in het Rijksmodel APM 34 - Beheer ‘generieke’ applicaties - Beheer van Rijksbrede ‘generieke’ applicatie - Beheer P-Direkt - Beheer 3F - … - Beheer van VWS-brede ‘generieke’ applicatie - Beheer VWS-brede ‘generieke’ applicaties door I-Team - Beheer Marjolein - … - Beheer VWS-brede ‘generieke’ applicaties door … Taak
  35. 35. BIR in het Rijksmodel APM 35 - Beheer Marjolein - Beheer Marjolein Producten/Diensten catalogus - Beheer Marjolein beheerprocessen - Beheer Marjolein change proces - Beheer Marjolein incidentenafhandelingsproces - … - Beheer Marjolein beheerorganisatie - Beheer Marjolein BIR-normen - Beheer Marjolein organisatie BIR normen: 5 – Beveiligingsbeleid 6 – Organisatie van de informatiebeveiliging 7 – Beheer van bedrijfsmiddelen 8 – Personele beveiliging 13 – Beheer van Informatiebeveiligingsincidenten 14 – Bedrijfscontinuïteitsbeheer 15 – Naleving - Beheer Marjolein applicatie BIR normen: 10 – Beheer van Communicatie- en Bedieningsprocessen 11 – Toegangsbeveiliging 12 – Verwerving, ontwikkeling en onderhoud van informatiesystemen - Beheer Marjolein rekencentra BIR normen: 9 – Fysieke beveiliging en beveiliging van de omgeving - Beheer Marjolein ICT-objecten - Beheer Marjolein … Taak
  36. 36. BIR in het Rijksmodel APM 36 - Beheer Marjolein BIR normen - Beheer Marjolein organisatie BIR normen: 5 – Beveiligingsbeleid (geen specifieke normen*) 6 – Organisatie van de informatiebeveiliging (geen specifieke normen) 7 – Beheer van bedrijfsmiddelen (geen specifieke normen) 8 – Personele beveiliging (geen specifieke normen) 13 – Beheer van Informatiebeveiligingsincidenten (geen specifieke normen) 14 – Bedrijfscontinuïteitsbeheer (geen specifieke normen) 15 – Naleving (geen specifieke normen) - Beheer Marjolein applicatie BIR normen: 10 – Beheer van Communicatie- en Bedieningsprocessen 11 – Toegangsbeveiliging 12 – Verwerving, ontwikkeling en onderhoud van informatiesystemen - Beheer Marjolein rekencentra BIR normen: 9 – Fysieke beveiliging en beveiliging van de omgeving (geen specifieke normen) * Bij ‘geen specifieke normen’ verwijzen naar geldende generieke normen Taak
  37. 37. BIR in het Rijksmodel APM 37 - Beheer specifieke Marjolein applicatie BIR normen: 10 – Beheer van Communicatie- en Bedieningsprocessen 11 – Toegangsbeveiliging 12 – Verwerving, ontwikkeling en onderhoud van informatiesystemen Voorbeeld: 10.1 Waarborgen van een correcte en veilige bediening van IT voorzieningen 10.1.1 Bedieningsprocedures behoren te worden gedocumenteerd, te worden bijgehouden en beschikbaar te worden gesteld aan alle gebruikers die deze nodig hebben. 10.1.1.1 Bedieningsprocedures bevatten informatie over opstarten, afsluiten, backup- en herstelacties, afhandelen van fouten, beheer van logs, contactpersonen, noodprocedures en speciale maatregelen voor beveiliging. Deze maatregel bevat meerdere detailvragen, die zijn afgeleid van de implementatierichtlijnen uit ISO 27002: 10.1.1.1.a Bedieningsprocedures bevatten informatie over opstarten 10.1.1.1.b Bedieningsprocedures bevatten informatie over afsluiten 10.1.1.1.c Bedieningsprocedures bevatten informatie over back-up en herstel 10.1.1.1.d Bedieningsprocedures bevatten informatie over afhandelen van fouten 10.1.1.1.e Bedieningsprocedures bevatten informatie over beheer van logs 10.1.1.1.f Bedieningsprocedures bevatten informatie over contactpersonen 10.1.1.1.g Bedieningsprocedures bevatten informatie over noodprocedures 10.1.1.1.h Bedieningsprocedures bevatten informatie over speciale maatregelen voor beveiliging Alle 1, 2 en 3-cijferige hoofdstukken zijn verplicht. De 4 cijferige hoofdstukken en nadere detaillering (detailvragen) zijn niet verplicht maar vormen wel een handige handreiking. Taak
  38. 38. BIR in het Rijksmodel APM 38 - Beheer specifieke Marjolein applicatie BIR normen: 10 Beheer van Communicatie- en Bedieningsprocessen 10.1 Waarborgen van een correcte en veilige bediening van IT voorzieningen 10.1.1 Bedieningsprocedures behoren te worden gedocumenteerd, te worden bijgehouden en beschikbaar te worden gesteld aan alle gebruikers die deze nodig hebben. 10.1.1.1 Bedieningsprocedures bevatten informatie over opstarten, afsluiten, backup- en herstelacties, afhandelen van fouten, beheer van logs, contactpersonen, noodprocedures en speciale maatregelen voor beveiliging. 10.1.1.1.a Bedieningsprocedures bevatten informatie over opstarten 10.1.1.1.b Bedieningsprocedures bevatten informatie over afsluiten 10.1.1.1.c Bedieningsprocedures bevatten informatie over back-up en herstel 10.1.1.1.d Bedieningsprocedures bevatten informatie over afhandelen van fouten 10.1.1.1.e Bedieningsprocedures bevatten informatie over beheer van logs 10.1.1.1.f Bedieningsprocedures bevatten informatie over contactpersonen 10.1.1.1.g Bedieningsprocedures bevatten informatie over noodprocedures 10.1.1.1.h Bedieningsprocedures bevatten informatie over speciale maatregelen voor beveiliging Om te voldoen aan de ISO 27001 dient men de BIR als volgt toe te passen: 1 – De toepasselijkheid van elke norm uit de BIR moet worden overwogen 2 – Als een norm niet van toepassing is, moet dat worden verklaard met een toelichting 3 – Als een norm van toepassing is, dient deze te worden geoperationaliseerd 4 – Als een norm van toepassing is, maar de keuze wordt gemaakt deze niet (of gedeeltelijk) te operationaliseren, dient aan de basis hiervan een risicoafweging te staan 5 – Als een norm van toepassing is, maar niet (of gedeeltelijk) geoperationaliseerd is, dient het ‘Explainproces’ te worden gevolgd Taak Verplicht Optioneel Optioneel
  39. 39. BIR in het Rijksmodel APM 39 - Beheer specifieke Marjolein applicatie BIR normen: 10.1.1.1.a Bedieningsprocedures bevatten informatie over opstarten 10.1.1.1.b Bedieningsprocedures bevatten informatie over afsluiten 10.1.1.1.c Bedieningsprocedures bevatten informatie over back-up en herstel 10.1.1.1.d Bedieningsprocedures bevatten informatie over afhandelen van fouten 10.1.1.1.e Bedieningsprocedures bevatten informatie over beheer van logs 10.1.1.1.f Bedieningsprocedures bevatten informatie over contactpersonen 10.1.1.1.g Bedieningsprocedures bevatten informatie over noodprocedures 10.1.1.1.h Bedieningsprocedures bevatten informatie over speciale maatregelen voor beveiliging BIR normen velden: Fit/Gap analyse velden: - Norm van toepassing? (Ja/Nee) - Toelichting norm n.v.t. (Tekst) - Norm geoperationaliseerd? (volledig, gedeeltelijk, niet) - Toelichting operationalisering norm (Tekst) Risico analyse velden: - Risico’s voor eigen organisatie (Tekst) - Risico’s voor andere organisaties (Tekst) - Acceptatie risico’s? (Ja/Nee) - Toelichting acceptatie risico’s (Tekst) Explain velden: - Datum explain (Datum) - Status explain (beschreven, ter goedkeuring, goedgekeurd, afgekeurd) - Datum status explain - Toelichting explain (Tekst) - Mitigerende explain maatregelen (Tekst) - Verantwoordelijke explain organisatie (Tekst) - Actiehouder explain (Tekst) - Geldigheid explain (duurzaam/tijdelijk) - Einddatum geldigheid explain (Datum, indien tijdelijk) Taak

×