AP12. Informatieveiligheid en bedrijfscontinuïteit passend geborgd

ArchiMate-modellen > WILMA > Principles > AP12. Informatieveiligheid en bedrijfscontinuïteit passend geborgd
ArchiMate-element AP12. Informatieveiligheid en bedrijfscontinuïteit passend geborgd
ArchiMate_Principle.png
Elementtype  : Principle
Element-id  : WILMAWaterschaps Informatie en Logische Model Architectuur (WILMA). De waterschappen willen beter en efficiënter samenwerken met elkaar en in de keten. Concrete kaders helpen bij het sturen van gemeenschappelijke ontwikkelingen zoals bijvoorbeeld de Omgevingswet. Architectuur is een strategisch hulpmiddel bij het opzetten en (continu) doorontwikkelen van de informatiehuishouding van een organisatie./id-3fe03e56-1e9b-4bee-9667-a678ac33f4d1
ArchiMate-model  : WILMA
Label  : AP12. Informatieveiligheid en bedrijfscontinuïteit passend geborgd
Documentatie  : Stelling:

We voldoen aan de normen voor informatiebeveiligingInformatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken. en bedrijfscontinuïteit. De bescherming van informatie in werkprocessen voldoet minimaal aan de geldende baseline op het gebied van informatiebeveiligingInformatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken. en bedrijfscontinuïteit, zoals vastgelegd in de BIO (Baseline InformatiebeveiligingInformatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken. Overheid). Maatregelen rond informatiebeveiligingInformatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken. en bedrijfscontinuïteit zijn proportioneel en gebaseerd op de risicoanalyse en -classificatie van beschikbaarheid, integriteit en vertrouwelijkheid. Toegang tot de informatievoorzieningDe informatievoorziening is het geheel van mensen, middelen en maatregelen, gericht op het invullen van de informatiebehoefte met gegevens en functionaliteit, zoals die volgt uit de bedrijfsprocessen van de organisatie. is altijd en overal beveiligd conform de geldende norm. Door risicoanalyse en - classificatie van de bedrijfsfuncties, ondersteunende middelen en informatie van het waterschap wordt het vereiste beschermingsniveau aangeduid in termen van beschikbaarheid, integriteit en vertrouwelijkheid. Dit beschermingsniveau kan de BIO ontstijgen wanneer extra beschermingsmaatregelen nodig zijn.


Rationale: De steeds grotere afhankelijkheid van informatiesystemen en informatiestromen leidt tot voelbare risico’s voor de continuïteit van de waterschapsdienstverlening. Betrouwbare, beschikbare en correcte informatie is cruciaal voor de primaire processen en bedrijfsvoering van alle waterschappen.


Implicaties: 1. Er is een door het bestuur vastgesteld informatiebeveiligingsbeleid dat is gebaseerd op en voldoet aan de BIO - Baseline InformatiebeveiligingInformatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken. Overheid. 2. Er is een actueel informatiebeveiligingsplan en bedrijfscontinuïteitsplan. 3. Alle verantwoordelijkheden voor informatiebeveiligingInformatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken. behoren duidelijk te zijn gedefinieerd en belegd. 4. Het lijnmanagement is verantwoordelijk voor de kwaliteit van de bedrijfsvoering en daarmee verantwoordelijk voor de beveiliging van informatiesystemen. 5. De systeemeigenaar is verantwoordelijk voor beveiligingsclassificatie op proces-, systeem- en gegevensniveau en voor uitvoering van beschermingsmaatregelen om het vereiste niveau van informatiebeveiligingInformatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken. te realiseren, alsmede voor de documentatie van beveiligings-classificatie en –maatregelen. 6. Zowel bij het ontwerp en realisatie van een systeem-implementatie als bij gebruik van het informatiesysteem vinden tests plaats op de effectiviteit van de beveiligingsmaatregelen. 7. Werknemers, ingehuurd personeel en externe gebruikers begrijpen hun verantwoordelijkheden t.a.v. informatiebeveiligingInformatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken. en handelen daarnaar. 8. De Security Officer wordt door de systeemeigenaar geïnformeerd over de beveiligingsclassificatie, over de genomen beschermingsmaatregelen en over de effectiviteit van de informatiebeveiligingInformatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.. 9. Beschermingsvereisten zijn van toepassing op alle ruimten van een waterschap, aanverwante gebouwen en beheerde objecten als kunstwerken, alsmede op apparatuur die door werknemers gebruikt wordt bij de uitoefening van hun taak op diverse locaties. 10. Beveiligingsvereisten voor informatiesystemen hebben betrekking op de informatie die daarbinnen verwerkt wordt. Ook als informatiesystemen niet fysiek binnen het waterschap draaien of taken zijn uitbesteed aan derden zijn deze beschermingsvereisten van toepassing. 11. Secure by design and by default, privacy by design and by default.


Voorbeelden: Wachtwoorden voor toegang tot applicaties en systemen zijn persoonlijk en worden niet aan anderen bekend gemaakt.

Er wordt regelmatig een back-up gemaakt en het terugzetten hiervan (recovery) wordt getest.
Bron  : https://www.noraonline.nl/wiki/Beschikbaarheid
SWC status  : In gebruik
SWC type  : Principe
Object ID  : 3fe03e56-1e9b-4bee-9667-a678ac33f4d1
Object ID_nl  : 3fe03e56-1e9b-4bee-9667-a678ac33f4d1
Original ID  : id-3fe03e56-1e9b-4bee-9667-a678ac33f4d1
Semanticsearch  : ap12. informatieveiligheid en bedrijfscontinuïteit passend geborgd
ArchiMate-views  : 
Relaties  : 
Contextdiagram
Stelling: We voldoen aan de normen voor informatiebeveiliging en bedrijfscontinuïteit. De bescherming van informatie in werkprocessen voldoet minimaal aan de geldende baseline op het gebied van informatiebeveiliging en bedrijfscontinuïteit, zoals vastgelegd in de BIO (Baseline Informatiebeveiliging Overheid). Maatregelen rond informatiebeveiliging en bedrijfscontinuïteit zijn proportioneel en gebaseerd op de risicoanalyse en -classificatie van beschikbaarheid, integriteit en vertrouwelijkheid. Toegang tot de informatievoorziening is altijd en overal beveiligd conform de geldende norm. Door risicoanalyse en - classificatie van de bedrijfsfuncties, ondersteunende middelen en informatie van het waterschap wordt het vereiste beschermingsniveau aangeduid in termen van beschikbaarheid, integriteit en vertrouwelijkheid. Dit beschermingsniveau kan de BIO ontstijgen wanneer extra beschermingsmaatregelen nodig zijn. Rationale: De steeds grotere afhankelijkheid van informatiesystemen en informatiestromen leidt tot voelbare risico’s voor de continuïteit van de waterschapsdienstverlening. Betrouwbare, beschikbare en correcte informatie is cruciaal voor de primaire processen en bedrijfsvoering van alle waterschappen. Implicaties: 1. Er is een door het bestuur vastgesteld informatiebeveiligingsbeleid dat is gebaseerd op en voldoet aan de BIO - Baseline Informatiebeveiliging Overheid. 2. Er is een actueel informatiebeveiligingsplan en bedrijfscontinuïteitsplan. 3. Alle verantwoordelijkheden voor informatiebeveiliging behoren duidelijk te zijn gedefinieerd en belegd. 4. Het lijnmanagement is verantwoordelijk voor de kwaliteit van de bedrijfsvoering en daarmee verantwoordelijk voor de beveiliging van informatiesystemen. 5. De systeemeigenaar is verantwoordelijk voor beveiligingsclassificatie op proces-, systeem- en gegevensniveau en voor uitvoering van beschermingsmaatregelen om het vereiste niveau van informatiebeveiliging te realiseren, alsmede voor de documentatie van beveiligings-classificatie en –maatregelen. 6. Zowel bij het ontwerp en realisatie van een systeem-implementatie als bij gebruik van het informatiesysteem vinden tests plaats op de effectiviteit van de beveiligingsmaatregelen. 7. Werknemers, ingehuurd personeel en externe gebruikers begrijpen hun verantwoordelijkheden t.a.v. informatiebeveiliging en handelen daarnaar. 8. De Security Officer wordt door de systeemeigenaar geïnformeerd over de beveiligingsclassificatie, over de genomen beschermingsmaatregelen en over de effectiviteit van de informatiebeveiliging. 9. Beschermingsvereisten zijn van toepassing op alle ruimten van een waterschap, aanverwante gebouwen en beheerde objecten als kunstwerken, alsmede op apparatuur die door werknemers gebruikt wordt bij de uitoefening van hun taak op diverse locaties. 10. Beveiligingsvereisten voor informatiesystemen hebben betrekking op de informatie die daarbinnen verwerkt wordt. Ook als informatiesystemen niet fysiek binnen het waterschap draaien of taken zijn uitbesteed aan derden zijn deze beschermingsvereisten van toepassing. 11. Secure by design and by default, privacy by design and by default. Voorbeelden: Wachtwoorden voor toegang tot applicaties en systemen zijn persoonlijk en worden niet aan anderen bekend gemaakt. Er wordt regelmatig een back-up gemaakt en het terugzetten hiervan (recovery) wordt getest. (Principle) AP12. Informatieveilig- heid en bedrijfscontinuït- eit passend geborgd Grouping Afgeleide principes Stelling: Ons waterschap werkt veilig Rationale: Implicaties: Ons waterschap stelt veiligheid voorop bij: *mensen *infrastructuur *informatie (Principle) BP07: Ons waterschap werkt veilig Stelling: Ons waterschap gaat op een vertrouwelijke manier met gegevens om Rationale: Klanten verwachten dat het waterschap op een zorgvuldige manier met hun gegevens om gaat en dat deze niet in handen komen van onbevoegden. De visiebrief digitale overheid besteedt daarom specifiek aandacht aan informatieveiligheid. Ontwikkelingen als consumerization en tijd- en plaatsonafhankelijk werken vragen ook om extra aandacht voor de beveiliging van informatie. Grenzen van organisaties vervagen en traditionele beveiligingsmaatregelen passen niet meer. Cybercriminaliteit kan zorgen voor ernstige ontregeling van organisaties. Het is daarom belangrijk de risico’s expliciet te maken. Hierdoor kunnen de meest passende maatregelen worden genomen en worden overmatige maatregelen vermeden. Implicaties: * Ons waterschap is aangesloten bij de Informatiebeveiligingsdienst voor waterschappen (IBD). * Ons waterschap heeft een informatiebeveiligingsbeleid, gebaseerd op de strategische en tactische Baseline Informatiebeveiliging Nederlandse Waterschappen (BIG). * Voor alle gegevens en applicatiefuncties (autorisatie-objecten) zijn verantwoordelijken aangewezen. * Voor alle autorisatie-objecten is aangegeven welke rollen of gebruikers geautoriseerd toegang kunnen krijgen. * Alle toegang tot autorisatie-objecten wordt expliciet geauthentiseerd en geautoriseerd, tenzij deze openbaar toegankelijk zijn. * Gegevens zijn voorzien van een BIV classificatie die aangeeft wat het gewenste niveau van Beschikbaarheid, Integriteit en Vertrouwelijkheid is. * Informatiebeveiligingsmaatregelen zijn gebaseerd op het informatiebeveiligingsbeleid, de BIV classificatie van de betrokken gegevens en een risicoanalyse vanuit procesperspectief. * Alle toegang tot gevoelige gegevens wordt gelogd en regelmatig beoordeeld. * Uitwisseling van gevoelige gegevens vindt niet in bulk plaats, maar is toegespitst op de vraag zodat het beperkt is tot wat noodzakelijk is. * Informatiebeveiliging wordt integraal meegenomen bij het ontwerp en de inrichting van applicaties en infrastructuur. * Informatiebeveiliging wordt ook geborgd in afspraken (en controle op naleving ervan) met samenwerkingspartners en leveranciers van diensten of IT-systemen. * Alle betrokkenen zijn zich bewust van informatiebeveiligingsmaatregelen en deze worden onder meer geborgd door periodieke interne en externe audits. (Principle) BP04: Ons waterschap gaat op een vertrouwelijke manier met gegevens om AggregationRelationship SpecializationRelationship geeft concrete invulling aan SpecializationRelationship geeft concrete invulling aan Deze svg is op 14-06-2021 16:04:16 CEST gegenereerd door ArchiMedes™ © 2016-2021 ArchiXL. ArchiMedes 14-06-2021 16:04:16 CEST