theoretisch model

Click here to load reader

  • date post

    11-Jan-2017
  • Category

    Documents

  • view

    219
  • download

    0

Embed Size (px)

Transcript of theoretisch model

  • Risicomodel informatiebeheer

    Concept versie 0.9

    1/24

    Beheer procesinformatie op maat: model voor

    risicowaardering bij procesinrichting

  • Risicomodel informatiebeheer

    Concept versie 0.9

    2/24

    Inhoudsopgave

    Inhoudsopgave...................................................................................................................... 2

    1. Inleiding............................................................................................................................. 3

    2. Vragenlijst ......................................................................................................................... 5

    1. Procestypering en -waardering: classificatie van het proces....................................... 6

    2. Procescontext: wet- en regelgeving ..........................................................................10

    3. Procesverloop...........................................................................................................10

    4. Procesinformatie: document- en workflow ...............................................................12

    5. Risicoklasse: uitkomst ...............................................................................................13

    3. Toelichting........................................................................................................................14

    Stappen in de vragenlijst...............................................................................................14

    1. Proceswaardering .................................................................................................14

    2. Procescontext: wet- en regelgeving ......................................................................14

    3. Procesverloop .......................................................................................................14

    4. Procesinformatie...................................................................................................15

    5. Risicoklasse ...........................................................................................................15

    Definiring kwaliteitscriteria en -niveaus ......................................................................15

    Authenticiteit en integriteit.......................................................................................15

    Bruikbaarheid ...........................................................................................................16

    Vindbaarheid ............................................................................................................16

    Raadpleegbaarheid ...................................................................................................16

    Interpreteerbaarheid ................................................................................................16

    Vereiste beheermaatregelen per kwaliteitscriterium ....................................................17

    Authenticiteit en integriteit.......................................................................................17

    Vindbaarheid ............................................................................................................18

    Raadpleegbaarheid ...................................................................................................18

    Interpreteerbaarheid ................................................................................................18

    Vereiste beheermaatregelen per risicoklasse................................................................20

    Authenticiteit en integriteit.......................................................................................20

    Vindbaarheid ............................................................................................................20

    Raadpleegbaarheid ...................................................................................................21

    Interpreteerbaarheid ................................................................................................21

    Bijlage 1: Metadata (bron: Richtlijn Metagegevens Overheidsinformatie) ............................22

    Bijlage 2: Systeemfunctionaliteit (bron: NEN 2082) ..............................................................23

    Bijlage 3: Lijst van procedures en instrumenten ...................................................................24

  • Risicomodel informatiebeheer

    Concept versie 0.9

    3/24

    1. Inleiding

    Om te waarborgen dat de informatie, die voortkomt uit de processen van de gemeente, van

    voldoende kwaliteit is om die zelfde processen te kunnen ondersteunen en achteraf te reconstrueren

    voor verantwoording, bewijs en beleidsevaluatie, is informatiebeheer nodig. Dat beheer (ook wel

    records management geheten) bestaat uit maatregelen (processen, metadata en

    systeemfunctionaliteit). Afhankelijk van de vereiste kwaliteit kan dat beheer zwaarder of lichter zijn.

    Bij sommige processen, bijvoorbeeld het verlenen van omgevingsvergunningen, is het risico van

    ontoereikende informatie groter dan bij, bijvoorbeeld, het verlenen van projectsubsidies aan

    buurtorganisaties. Risicowaardering is een goede methode om te bepalen welk kwaliteitsniveau voor

    welke procesinformatie vereist is. Op grond van de risicoklasse kan vervolgens een passend

    beheerregime worden bepaald. Deze aanpak is ontleend aan de risicoklassering voor

    informatiebeveiliging die binnen de gemeente Rotterdam ontwikkeld is.

    Doel

    Dit instrument helpt proceseigenaren aan de hand van een risico-analyse een beheerregime op maat

    voor procesinformatie te kiezen bij het (her)inrichten hun processen. Uitgangspunt bij deze methode

    is dat het proces leidend is: de aard van het proces bepaalt grotendeels de eisen die aan de

    informatie gesteld worden.

    Kwaliteitscriteria

    De risicoclassificatie maakt, evenals die voor informatiebeveiliging, gebruik van kwaliteitscriteria voor

    informatie. Deze zijn ontleend aan de internationale standaard voor records management, NEN ISO

    154891:

    1. Authenticiteit en integriteit 2. Vindbaarheid 3. Raadpleegbaarheid 4. Interpreteerbaarheid

    In de toelichting op p. 13# worden deze kwaliteitscriteria omschreven en in niveaus onderverdeeld.

    Toepassing

    Het bepalen van de risicoklasse en het informatiebeheerregime zijn onderdeel van de voorbereiding

    van het (her)inrichten van een proces. Dit ligt op n lijn met het bepalen van de risicoklasse ten

    behoeve van het bepalen van het niveau van informatiebeveiliging. Beide horen onderdeel te zijn van

    de Project Start Architectuur en het bijbehorende toetsingsproces. Daarna volgt de inrichting van het

    aspect informatiebeheer binnen een procesinrichting, waarvoor weer andere instrumenten nodig

    zijn.

    Voor wie

    Het instrument is bedoeld voor lijnmanagers, informatie-architecten en procesontwerpers.

    Hoe te gebruiken

    De waardering verloopt in drie stappen:

    1. Met behulp van de indicatoren in de vragenlijst het belang en de waarde van informatie in een proces waarderen;

    2. Die waardering vertalen in kwaliteitscriteria en vervolgens in een risicoklasse omzetten; 3. Op basis van de risicoklasse een informatiebeheerregime aanbevelen.

    1 NEN-ISO 15489-1 (nl) Informatie en documentatie Archiefbeheer (ISO 15489-1:2001, IDT) 10-11. het criterium

    betrouwbaarheid is achterwege gelaten, omdat het betrekking heeft op de juiste creatie van informatie, en niet op het

    beheer daarvan.

  • Risicomodel informatiebeheer

    Concept versie 0.9

    4/24

    In de toelichting wordt de methode voor het bepalen van de kwaliteitscriteria en bijbehorende

    beheerregimes uitgewerkt. Achtereenvolgens komen aan bod:

    - Indicatoren in de vragenlijst

    - Definiring kwaliteitscriteria en -niveaus

    - Vereiste beheermaatregelen per kwaliteitscriterium

    - Vereiste beheermaatregelen per risicoklasse.

  • Concept versie 0.1

    2. Vragenlijst

    Aan de hand van deze vragenlijst wordt per proces een risicoklasse voor de daaruit voortkomende

    informatie bepaald. Die risicoklasse kan op basis van eigenschappen van het proces gekoppeld

    worden aan een beheerregime en uiteindelijk een beheeromgeving (combinatie van metadata,

    systeemfunctionaliteit en procedures). In de vragenlijst wordt de procesinformatie vanuit vier

    perspectieven gewaardeerd:

    1. Proceswaardering: belang en type proces 2. Procescontext: relevante wet- en regelgeving 3. Procesverloop: betrokkenen, afhankelijkheden 4. Procesinformatie: documentflow

    De vier factoren leiden tot stap 5 waarbij aan een proces een risicoklasse wordt gegeven. In figuur 1

    is het beslismodel grafisch weergegeven.

    Figuur 1

    Legenda

    Stap 1 Levert nuttige informatie op voor het beheerregime; alle kwaliteitscriteria worden in mindere of

    meerdere mate behandeld (cf. infra). Voor informatiespecialisten is deze stap van belang om de

    complexiteit van het proces te begrijpen.

    Gerelateerd aan - kwaliteitscriteria: authenticiteit, integriteit, vindbaarheid, raadpleegbaarheid &

    interpreteerbaarheid

    - beheermaatregelen: systeemfunctionaliteit & metadata

    Stap 2 Relatie tussen wet- en regelgeving en eisen aan proces (bijvoorbeeld i.v.m. voortgang en procedure) en

    aan informatie (bijvoorbeeld type informatie die moet gecreerd worden)

    Gerelateerd aan - kwaliteitscriteria: authenticiteit en integri