Studiemodel informatiebeveiliging overheid
39
Studiemodel Informatiebeveiliging • Baseline Informatiebeveiliging Overh • Relatie met gerelateerde organisatie elementen in één volledige repositor • Conform ArchiMate (eenvoudig weer om te zetten naar ‘gewone’ bedrijfsvoer 12-02-2016 De sheets in deze presentatie hebben nog de aard van een studiemodel. Momenteel wordt dit model in een pilot met een daad- werkelijke repository getest en getoetst bij de Auditdienst Rijk Dhammika van Gent Solution Architect Public
-
Upload
ben-laarhoven -
Category
Government & Nonprofit
-
view
248 -
download
0
Transcript of Studiemodel informatiebeveiliging overheid
Studiemodel Informatiebeveiliging• Baseline Informatiebeveiliging Overheid• Relatie met gerelateerde organisatie-
elementen in één volledige repository• Conform ArchiMate (eenvoudig weer om
te zetten naar ‘gewone’ bedrijfsvoeringstaal
12-02-2016De sheets in deze presentatie hebben nogde aard van een studiemodel. Momenteelwordt dit model in een pilot met een daad-werkelijke repository getest en getoetst bijde Auditdienst Rijk
Dhammika van GentSolution Architect Public
2
Het organisatie- en formatierapport (O&F-rapport) van de organisatie bevat informatie over de missie, hoofdtaken (kerntaken) en structuur van de organisatie.
BIR in het Rijksmodel APM
KerntaakMinisterieMotivatielaag
Kerntaken
3
BIR in het Rijksmodel APM
Van Kerntaken naar de levering van producten/dienstendoor middel van bedrijfsprocessen met behulp van mensen en middelen en onder bepaalde randvoorwaarden.
Bedrijfsproces
Deel-proces
VraagMeldingIncidentZaak
ProductBeslissingActieSanctie
van gebeurtenis… …tot dienst
Besturing
MiddelenOrganisatie
Deel-proces
Deel-proces
4
BIR in het Rijksmodel APM
Van Kerntaken naar de levering van producten/dienstendoor middel van bedrijfsprocessen met behulp van mensen en middelen en onder bepaalde randvoorwaarden (constraints).
Bedrijfsproces
VraagMeldingIncidentZaak
ProductBeslissingActieSanctie
Applicatie Applicatie Applicatie
Gegevens Gegevens Gegevens
van gebeurtenis… …tot dienst
Organisatie MiddelenBesturing
Deel-proces
Deel-proces
Deel-proces
5
BIR in het Rijksmodel APM
Een functie levert een of meerdere helder omschreven producten/diensten.Als we dit op elektronische wijze doen, spreken we over services.
Archimate
Business Product
Business Function
levert
Business Service Business Service
Business Function
levert
= Business Process
BusinessEvent
BusinessObject
6
BIR in het Rijksmodel APM
Een Business Service is de bijdrage die vanuit de organisatie wordt geleverd aan de omgeving. Een Business Service levert een Product/Dienst welke zijn vastgelegd ineen PDC (Producten/Diensten Catalogus)
Archimate
Binnen het APM-model wordt een Business Service weergeven door middel van Taken binnen de bedrijfslaag.
Business Product
Business Service Business Service
Product/Dienst
Taak Taak
7
BIR in het Rijksmodel APM
Producten en Diensten
Product/Dienst Bedrijfslaag
8
BIR in het Rijksmodel APM
Product/Dienst
9
BIR in het Rijksmodel APM
Taak
Taken
Bedrijfslaag
10
BIR in het Rijksmodel APM
Door de organisatie worden randvoorwaarden (constraints) gesteld waaronder een taak moet worden uitgevoerd.
Archimate
Een van de randvoorwaarden is de Baseline Informatiebeveiliging Rijksdienst (BIR).
Randvoorwaarde Randvoorwaarde
Product/Dienst
Taak Taak
11
BIR in het Rijksmodel APM
Informatiebeveiliging
De volgende uitgangspunten voor informatiebeveiliging worden binnen de Rijksoverheid gehanteerd:
1. Informatiebeveiliging is onderdeel van de integrale beveiliging. Het dient hiermee bij te dragen aan de beveiliging van de organisatie en haar informatie, en aan de realisatie van de organisatiedoelstellingen.
2. Het juiste niveau van informatiebeveiliging komt tot stand op basis van risicomanagement . Bestaande kaders en wetgeving bepalen hierbij het minimumniveau. Relevant in dit verband zijn:
a. Beveiligingsvoorschrift Rijksdienst (BVR 2013) b. Besluit Voorschrift Informatiebeveiliging Rijksdienst 2007 (VIR 2007); c. Baseline Informatiebeveiliging Rijksdienst (BIR 2012); d. Besluit Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie (VIR-BI 2013); e. Wet Bescherming Persoonsgegevens (WBP); f. Archiefwet 1995.
3. Elk informatiesysteem heeft een opdrachtgever (in het VIR: eigenaar van het informatiesysteem genoemd) die verantwoordelijk is voor het risicomanagement dat op het informatiesysteem wordt toegepast. Voor een informatiesysteem dat directie- of departementsoverstijgend is en waar meerdere dienstonderdelen van afhankelijk zijn, wordt een eigenaar aangewezen.
4. De proceseigenaar is er voor verantwoordelijk dat het proces van risicomanagement conform het VIR 2007 inzichtelijk en toetsbaar is.
5. Conform het VIR is het lijnmanagement verantwoordelijk voor het periodieke in-control statement. Tevens dient, conform de BIR, opzet/bestaan en werking van IB maatregelen aantoonbaar te worden getoetst.
12
BIR in het Rijksmodel APM
Informatiebeveiliging
Voor de beveiliging van informatiesystemen worden beveiligingsmaatregelen getroffen. Deze maatregelen worden getroffen om de beschikbaarheid, de integriteit en de vertrouwelijkheid (drie kenmerken van betrouwbaarheid) van de informatie in de systemen te waarborgen. De maatregelen dienen zodanig te zijn dat de beveiliging aansluit bij de eisen die de betrokken werkprocessen hieraan stellen.
Tevens volgt uit de ‘kwetsbaarheidsanalyse spionage’ die in opdracht van het kabinet Balkenende IV is ingevoerd, dat men processen (en de informatie hierin) moet beoordelen op de kwetsbaarheid voor spionageactiviteiten (KWAS).
VIR spreekt over “de systemen” in een organisatie. Dit kunnen voor de hele rijksoverheid duizenden systemen zijn. Het is dus praktisch om een prioriteit te stellen bij de “bedrijfskritische” systemen. Dat wil zeggen bij systemen die bij falen de tijdigheid en kwaliteit van het product of de dienst van een organisatie in gevaar brengen (TBB: ‘te beschermen belangen’ ). De organisatie moet alle systemen uiteraard wel in kaart hebben gebracht en moet dit ook inzichtelijk kunnen maken voor interne of externe audits.
Het lijnmanagement dient vanuit haar werkprocessen in kaart te brengen welke betrouwbaarheidseisen deze stellen aan de gebruikte informatiesystemen. Dit dient elke twee jaar te gebeuren of bij significante wijzigingen in de werkprocessen.
In de Planning & Controlcyclus dienen afspraken gemaakt te worden over: • jaarlijkse check van de vereiste betrouwbaarheid (vanuit de werkprocessen) versus de geboden betrouwbaarheid
(vanuit de gebruikte informatiesystemen); • handhaving en naleving van gebruikersreglementen.
13
BIR in het Rijksmodel APM
Informatiebeveiliging
Stappenplan risicomanagement
1 – Risicoanalyse (vaststellen betrouwbaarheidseisen)1.1 Benoem de taak en wijs een taakeigenaarschap toe (lijnmanagement)1.2 Stel vast welke applicatie (of applicaties) binnen het proces worden gebruikt (taakeigenaar)1.3 Stel, aan de hand van een risicoanalyse, de betrouwbaarheidseisen op waaraan de taak moet voldoen (taakeigenaar)1.4 Stel het document ‘risicoanalyse’ vast (lijnmanagement)
2 – Opstellen informatiebeveiligingsplan2.1 Als het betrouwbaarheidsniveau of dreigingenniveau de BIR niet overstijgt, is de BIR kaderstellend voor de inrichting van het systeem en de systeemomgeving (ICT leverancier)2.2 Als het betrouwbaarheidsniveau of dreigingenniveau de BIR overstijgt, worden op BIR aanvullende maatregelen getroffen. (taakeigenaar)2.3 Indien het vereiste betrouwbaarheidsniveau de BIR niet overstijgt, bestaat deze stap uit een toelichting op de implementatie van BIR-maatregelen. Indien het niveau de BIR overstijgt, wordt de toelichting op de implementatie van BIR-maatregelen aangevuld met specifiek toepasselijke maatregelen. (taakeigenaar) 2.4 Verwijs indien van toepassing en mogelijk (bijvoorbeeld bij het afnemen van generieke of gedeelde dienstverlening) naar algemene beheersmaatregelen in de ICT omgeving. (taakeigenaar)2.5 Bepaal eventuele restrisico’s. Indien restrisico’s uitsluitend een procesrisico met zich meebrengen, kan de proceseigenaar restrisico’s accepteren. (taakeigenaar)2.6 Bepaal welke restrisico’s tijdelijk zijn, en stel een verbeterplan op.2.7 Stel het informatiebeveiligingsplan op
14
BIR in het Rijksmodel APM
Informatiebeveiliging en APM
Uitgangspunten m.b.t. de vastlegging van de informatiebeveiligingsaspecten in het Rijksmodel APM:
- de vastlegging moet alle processen en producten m.b.t. informatiebeveiliging binnen een ministerie ondersteunen- moet zowel taak als applicatie specifieke informatiebeveiligingsaspecten ondersteunen- moet zelfstandig zonder APM kunnen worden gebruikt- moet eenvoudig kunnen worden toegepast- moet de benodigde rapportages bevatten- moet de planning & control cyclus ondersteunen- moet ook geschikt zijn om te worden toegepast buiten de Rijksoverheid- ..
15
BIR in het Rijksmodel APM
Taak Velden: - Taaknaam (tekstveld)- Taakomschrijving (tekstveld)- …
- Taakeigenaar (1-N)
- Gerelateerde kerntaken (1-N)
- Gerelateerde producten/diensten (1-N)
- Gerelateerde bedrijfsprocessen (1-N)
- Te Beschermen Belangen (TBB) velden: (zie volgende sheets)
- Quick Scan (QS) velden: (zie volgende sheets)
- BIR-velden: (zie volgende sheets)
Link naar onderliggende documenten in Document Management Systeem
16
BIR in het Rijksmodel APM
Taak Te Beschermen Belangen (TBB) velden:
- Datum laatste TBB-analyse (datumveld)- TBB niveau (Zeer hoog, Hoog, Midden, Laag, n.v.t.)- Op risicokaart (Ja, Nee)
17
BIR in het Rijksmodel APM
Taak Quick Scan velden:
- Datum laatste Quick Scan-analyse- Boven BIR (ja/nee)- Risico-analyse nodig (ja/nee)- Datum laatste Risico-analyse
Quick Scan Betrouwbaarheidseisen:- beschikbaarheid van de informatie (zeer hoog, hoog, midden, laag, zeer laag)
- vertrouwelijkheid van de informatie (zeer hoog, hoog, midden, laag, zeer laag)
- integriteit van de informatie (zeer hoog, hoog, midden, laag, zeer laag)
- dreigingsprofiel (BIR, anders dan BIR)
18
BIR in het Rijksmodel APM
Taak Quick Scan velden:
- Classificatie van de Taak: (Kritisch strategisch, Strategisch, Bijdragend, Ondersteunend)
- Classificatie applicaties Quick Scan BIR:
Vitale applicaties voor deze taak- applicatie 1 (mapping naar applicatie)- applicatie 2 (mapping naar applicatie)- ….
Nuttige applicaties voor deze taak- applicatie 3 (mapping naar applicatie)- applicatie 4 (mapping naar applicatie)- ….
Ondersteunende applicaties voor deze taak- applicatie 5 (mapping naar applicatie)- applicatie 6 (mapping naar applicatie)- ….
19
BIR in het Rijksmodel APM
BIR velden:
- Document betrouwbaarheidseisen aanwezig? (Ja/Nee)- Document maatregelen aanwezig? (Ja/Nee)- Document verbeterplan/risicoacceptatie aanwezig? (Ja/Nee)
- BIR normen voor deze taak:- BIR norm (mapping naar BIR normen)- BIR norm (mapping naar BIR normen)- BIR norm (mapping naar BIR normen)- ….
Taak
20
BIR in het Rijksmodel APM
BIR velden:
- BIR norm voor deze applicatie:- BIR norm (mapping naar BIR normen)- BIR norm (mapping naar BIR normen)- BIR norm (mapping naar BIR normen)- ….
Applicatie
21
BIR in het Rijksmodel APM
BIR Implementatie
BIR normen vastleggen
22
BIR in het Rijksmodel APM
BIR Implementatie
BIR normen vastleggen
23
BIR in het Rijksmodel APM
BIR Implementatie
Om te voldoen aan de ISO 27001 dient men de BIR als volgt toe te passen:
1 – De toepasselijkheid van elke norm uit de BIR moet worden overwogen
2 – Als een norm niet van toepassing is, moet dat worden verklaard met een toelichting
3 – Als een norm van toepassing is, dient deze te worden geoperationaliseerd
4 – Als een norm van toepassing is, maar de keuze wordt gemaakt deze niet (of gedeeltelijk) te operationaliseren, dient aan de basis hiervan een risicoafweging te staan
5 – Als een norm van toepassing is, maar niet (of gedeeltelijk) geoperationaliseerd is, dient het ‘Explainproces’ te worden gevolgd
24
BIR in het Rijksmodel APM
BIR comply or explainprocedure
- Het toetsen vindt plaats aan de hand van de in-control verklaring.
- De in-control verklaring geeft inzicht aan welke BIR normen wordt voldaan en voor welke BIR normen een explain is gedefinieerd.
- Een explain is een door de verantwoordelijke lijnmanager1) geaccepteerde verklaring waarom aan bepaalde normen uit de BIR niet wordt voldaan.
- De BIR bevat de hoofdstukindeling en de normen uit ISO 27001 (bijlage A). Alle 1, 2 en 3 cijferige zijn direct overgenomen. Hieraan moet samen met de R-normen verplicht worden voldaan.
- Daarnaast bevat de BIR normen met een 4 cijferige nummering die niet met een R zijn gemerkt. Dat zijn suggesties voor een goede invulling van de BIR. Die normen zijn niet verplicht.
- Een explain moet worden opgesteld voor elk restrisico of niet ingevulde BIR norm:1. een BIR norm die voor de betreffende situatie wel van toepassing is maar waar niet aan voldaan wordt2. een BIR norm die volgens de eigenaar van een systeem voor de betreffende situatie niet van toepassing is3. overige bij een risicoanalyse gesignaleerde restrisico’s
1) Verantwoordelijk lijnmanager: dit is de lijnmanager die door de SG, die volgend het VIR verantwoordelijk is, is gemandateerd.
Het lijnmanagement is verantwoordelijk voor de kwaliteit van zijn eindproduct en daarmee ook voor de beveiliging van zijn informatiesystemen. Bij ketens, generieke diensten en gezamenlijke diensten wordt een partij gemandateerd om op te treden als eigenaar namens de betrokken de verschillende betrokken lijnmanagers. De lijnmanagers houden dan wel toezicht op de goede uitvoering van het systeemeigenaarschap.
25
BIR in het Rijksmodel APM
BIR comply or explainprocedure
Een explain-verklaring bevat:
- referentienummer explain (= koppeling naar explain-registratiesysteem)
- de BIR norm waarop de explain betrekking heeft (= koppeling naar BIR)
- datum explain
- status explain
- reden waarom niet (nog) niet wordt voldaan de BIR norm
- risico explain voor de eigen organisatie
- risico explain voor andere organisaties (+ verklaring welke organisaties)
- reden van acceptatie van de explain
- geldigheid explain (duurzaam of tijdelijk met vermelding van datum)
- verantwoordelijke organisatie
- actiehouder
- lijnmanager
26
BIR in het Rijksmodel APM
BIR Implementatie
BIR normen velden:
Fit/Gap analyse velden: - Norm van toepassing? (Ja/Nee)- Toelichting norm n.v.t. (Tekst)- Norm geoperationaliseerd? (volledig, gedeeltelijk, niet)- Toelichting operationalisering norm (Tekst)
Risico analyse velden: - Risico’s voor eigen organisatie (Tekst)- Risico’s voor andere organisaties (Tekst)- Acceptatie risico’s? (Ja/Nee)- Toelichting acceptatie risico’s (Tekst)
Explain velden: - Datum explain (Datum)- Status explain (beschreven, ter goedkeuring,
goedgekeurd, afgekeurd)- Datum status explain- Toelichting explain (Tekst)- Mitigerende explain maatregelen (Tekst)- Verantwoordelijke explain organisatie (Tekst)- Actiehouder explain (Tekst)- Geldigheid explain (duurzaam/tijdelijk)- Einddatum geldigheid explain (Datum, indien tijdelijk)
27
BIR in het Rijksmodel APM
BIR Implementatie
BIR normen vastleggen
28
BIR in het Rijksmodel APM
BIR Implementatie
BIR normen vastleggen
29
BIR in het Rijksmodel APM
BIR Implementatie
BIR normen rapportages
- Fit/Gap rapportage
30
BIR in het Rijksmodel APM
BIR Implementatie
Let op: als een taak gebruik maakt van generieke applicaties en generieke rekencentra, dan hoeft de eigenaarvan de taak de BIR normen voor die domeinen niet te realiseren. Het is wel van belang dat deze generieke normen zijn gerealiseerd en inzichtelijk zijn voor de verschillende eigenaren.
* Lees: Generieke of gemeenschappelijke: Generiek (Rijksbrede ICT producten en diensten, BZK is eigenaar) of Gemeenschappelijk (meerdere eigenaren, één hiervan wordt aangewezen als gemandateerd eigenaar)
Lijnmanager
Eigenaar taak
Rol
Rol
GeneriekenormenNormen in organisatie
Generieke normenin organisatie
(organisatie breed)
Ja
Nee
Specifieke normenin organisatie(lijnmanager)
Generieke*applicatie
Ja
Nee
Normen generieke applicaties(eigenaar generieke app.)
Normen specifieke applicaties(eigenaar taak)
Generieke*reken-centra
Rol
Ja
Nee
Normen generieke rekencentra(organisatie breed)
Normen specifieke rekencentra(eigenaar taak)
31
BIR in het Rijksmodel APM
BIR Implementatie
BIR Normen in organisatie:
BIR Hoofdstuk: 5 – Beveiligingsgbeleid 6 – Organisatie van de informatiebeveiliging 7 – Beheer van bedrijfsmiddelen 8 – Personele beveiliging13 – Beheer van Informatiebeveiligingsincidenten14 – Bedrijfscontinuïteitsbeheer15 – Naleving
Alleen als voor een specifieke taak de ‘Generieke normen in organisatie’ niet voldoende zijn moeten specifieke maatregelen worden getroffen. Onder andere op basis van de resultaten van een Quick Scan (classificatie boven BIR).
LijnmanagerRol
GeneriekenormenNormen in organisatie
Generieke normenin organisatie
(organisatie breed)
Ja
Nee
Specifieke normenin organisatie(lijnmanager)
32
BIR in het Rijksmodel APM
BIR Implementatie
BIR Normen applicaties:
BIR Hoofdstuk: 10 – Beheer van Communicatie- en Bedieningsprocessen11 – Toegangsbeveiliging12 – Verwerving, ontwikkeling en onderhoud van informatiesystemen
Normen met betrekking tot generieke applicaties worden beschreven door de eigenaar van de generieke applicatie.
* Lees: Generieke of gemeenschappelijke applicatie.
Eigenaar taak
Rol
Generiekeapplicatie
Ja
Nee
Normen generieke applicaties(eigenaar generieke app.*)
Normen specifieke applicaties(eigenaar taak)
33
BIR in het Rijksmodel APM
BIR Implementatie
BIR Normen rekencentra:
BIR Hoofdstuk: 9 – Fysieke beveiliging en beveiliging van de omgeving
Normen met betrekking tot specifieke rekencentra moeten door de taak eigenaar worden beschreven.
Eigenaar taak
Generiekereken-centra
Rol
Ja
Nee
Normen generieke rekencentra(organisatie breed)
Normen specifieke rekencentra(eigenaar taak)
34
BIR in het Rijksmodel APM
- Beheer ‘generieke’ applicaties
- Beheer van Rijksbrede ‘generieke’ applicatie- Beheer P-Direkt- Beheer 3F- …
- Beheer van VWS-brede ‘generieke’ applicatie
- Beheer VWS-brede ‘generieke’ applicaties door I-Team- Beheer Marjolein- …
- Beheer VWS-brede ‘generieke’ applicaties door …
Taak
35
BIR in het Rijksmodel APM
- Beheer Marjolein
- Beheer Marjolein Producten/Diensten catalogus
- Beheer Marjolein beheerprocessen- Beheer Marjolein change proces- Beheer Marjolein incidentenafhandelingsproces- …
- Beheer Marjolein beheerorganisatie
- Beheer Marjolein BIR-normen- Beheer Marjolein organisatie BIR normen:
5 – Beveiligingsbeleid 6 – Organisatie van de informatiebeveiliging 7 – Beheer van bedrijfsmiddelen 8 – Personele beveiliging13 – Beheer van Informatiebeveiligingsincidenten14 – Bedrijfscontinuïteitsbeheer15 – Naleving
- Beheer Marjolein applicatie BIR normen:10 – Beheer van Communicatie- en Bedieningsprocessen11 – Toegangsbeveiliging12 – Verwerving, ontwikkeling en onderhoud van informatiesystemen
- Beheer Marjolein rekencentra BIR normen:9 – Fysieke beveiliging en beveiliging van de omgeving
- Beheer Marjolein ICT-objecten
- Beheer Marjolein …
Taak
36
BIR in het Rijksmodel APM
- Beheer Marjolein BIR normen
- Beheer Marjolein organisatie BIR normen:
5 – Beveiligingsbeleid (geen specifieke normen*)
6 – Organisatie van de informatiebeveiliging (geen specifieke normen)
7 – Beheer van bedrijfsmiddelen (geen specifieke normen)
8 – Personele beveiliging (geen specifieke normen)
13 – Beheer van Informatiebeveiligingsincidenten (geen specifieke normen)
14 – Bedrijfscontinuïteitsbeheer (geen specifieke normen)
15 – Naleving (geen specifieke normen)
- Beheer Marjolein applicatie BIR normen:
10 – Beheer van Communicatie- en Bedieningsprocessen
11 – Toegangsbeveiliging
12 – Verwerving, ontwikkeling en onderhoud van informatiesystemen
- Beheer Marjolein rekencentra BIR normen:
9 – Fysieke beveiliging en beveiliging van de omgeving (geen specifieke normen)
* Bij ‘geen specifieke normen’ verwijzen naar geldende generieke normen
Taak
37
BIR in het Rijksmodel APM
- Beheer specifieke Marjolein applicatie BIR normen:
10 – Beheer van Communicatie- en Bedieningsprocessen11 – Toegangsbeveiliging12 – Verwerving, ontwikkeling en onderhoud van informatiesystemen
Voorbeeld: 10.1 Waarborgen van een correcte en veilige bediening van IT voorzieningen
10.1.1 Bedieningsprocedures behoren te worden gedocumenteerd, te worden bijgehouden en beschikbaar te worden gesteld aan alle gebruikers die deze nodig hebben.
10.1.1.1 Bedieningsprocedures bevatten informatie over opstarten, afsluiten, backup- en herstelacties, afhandelen van fouten, beheer van logs, contactpersonen, noodprocedures en specialemaatregelen voor beveiliging.
Deze maatregel bevat meerdere detailvragen, die zijn afgeleid van de implementatierichtlijnen uit ISO 27002:10.1.1.1.a Bedieningsprocedures bevatten informatie over opstarten10.1.1.1.b Bedieningsprocedures bevatten informatie over afsluiten10.1.1.1.c Bedieningsprocedures bevatten informatie over back-up en herstel10.1.1.1.d Bedieningsprocedures bevatten informatie over afhandelen van fouten10.1.1.1.e Bedieningsprocedures bevatten informatie over beheer van logs10.1.1.1.f Bedieningsprocedures bevatten informatie over contactpersonen10.1.1.1.g Bedieningsprocedures bevatten informatie over noodprocedures10.1.1.1.h Bedieningsprocedures bevatten informatie over speciale maatregelen voor beveiliging
Alle 1, 2 en 3-cijferige hoofdstukken zijn verplicht. De 4 cijferige hoofdstukken en nadere detaillering (detailvragen) zijn niet verplichtmaar vormen wel een handige handreiking.
Taak
38
BIR in het Rijksmodel APM
- Beheer specifieke Marjolein applicatie BIR normen:
10 Beheer van Communicatie- en Bedieningsprocessen
10.1 Waarborgen van een correcte en veilige bediening van IT voorzieningen
10.1.1 Bedieningsprocedures behoren te worden gedocumenteerd, te worden bijgehouden en beschikbaar te worden gesteld aan alle gebruikers die deze nodig hebben.
10.1.1.1 Bedieningsprocedures bevatten informatie over opstarten, afsluiten, backup- en herstelacties, afhandelen van fouten, beheer van logs, contactpersonen, noodprocedures en speciale maatregelen voor beveiliging.
10.1.1.1.a Bedieningsprocedures bevatten informatie over opstarten10.1.1.1.b Bedieningsprocedures bevatten informatie over afsluiten10.1.1.1.c Bedieningsprocedures bevatten informatie over back-up en herstel10.1.1.1.d Bedieningsprocedures bevatten informatie over afhandelen van fouten10.1.1.1.e Bedieningsprocedures bevatten informatie over beheer van logs10.1.1.1.f Bedieningsprocedures bevatten informatie over contactpersonen10.1.1.1.g Bedieningsprocedures bevatten informatie over noodprocedures10.1.1.1.h Bedieningsprocedures bevatten informatie over speciale maatregelen voor beveiliging
Om te voldoen aan de ISO 27001 dient men de BIR als volgt toe te passen:
1 – De toepasselijkheid van elke norm uit de BIR moet worden overwogen
2 – Als een norm niet van toepassing is, moet dat worden verklaard met een toelichting
3 – Als een norm van toepassing is, dient deze te worden geoperationaliseerd
4 – Als een norm van toepassing is, maar de keuze wordt gemaakt deze niet (of gedeeltelijk) te operationaliseren, dient aan de basis hiervan een risicoafweging te staan
5 – Als een norm van toepassing is, maar niet (of gedeeltelijk) geoperationaliseerd is, dient het ‘Explainproces’ te worden gevolgd
TaakVerplicht
Optioneel
Optioneel
39
BIR in het Rijksmodel APM
- Beheer specifieke Marjolein applicatie BIR normen:
10.1.1.1.a Bedieningsprocedures bevatten informatie over opstarten10.1.1.1.b Bedieningsprocedures bevatten informatie over afsluiten10.1.1.1.c Bedieningsprocedures bevatten informatie over back-up en herstel10.1.1.1.d Bedieningsprocedures bevatten informatie over afhandelen van fouten10.1.1.1.e Bedieningsprocedures bevatten informatie over beheer van logs10.1.1.1.f Bedieningsprocedures bevatten informatie over contactpersonen10.1.1.1.g Bedieningsprocedures bevatten informatie over noodprocedures10.1.1.1.h Bedieningsprocedures bevatten informatie over speciale maatregelen voor beveiliging
BIR normen velden:
Fit/Gap analyse velden: - Norm van toepassing? (Ja/Nee)- Toelichting norm n.v.t. (Tekst)- Norm geoperationaliseerd? (volledig, gedeeltelijk, niet)- Toelichting operationalisering norm (Tekst)
Risico analyse velden: - Risico’s voor eigen organisatie (Tekst)- Risico’s voor andere organisaties (Tekst)- Acceptatie risico’s? (Ja/Nee)- Toelichting acceptatie risico’s (Tekst)
Explain velden: - Datum explain (Datum)- Status explain (beschreven, ter goedkeuring,
goedgekeurd, afgekeurd)- Datum status explain- Toelichting explain (Tekst)- Mitigerende explain maatregelen (Tekst)- Verantwoordelijke explain organisatie (Tekst)- Actiehouder explain (Tekst)- Geldigheid explain (duurzaam/tijdelijk)- Einddatum geldigheid explain (Datum, indien tijdelijk)
Taak
