Eigenschap:Documentation

Denk hierbij aan een gemeente, waterschap, school, veligheidsregio, GGD/GHOR-dienst etc.  +

Bevoegde gezagen maken binnen hun plan- en regelbeheersoftware gebruik van centraal beschikbaar gestelde begrippenkaders, domeinwaardenlijsten en andere metadata.  +

Een vastgestelde omgevingsvisie vormt een richtinggevend kader voor het wijzigen van het omgevingsplan of -verordening.  +

Een vastgestelde omgevingsvisie vormt een richtinggevend kader voor het ontwikkelen van een omgevingsprogramma.  +

Om de doelen die vastgesteld zijn in omgevingsplan of -verordening te bereiken kan een programmatische aanpak gewenst zijn. Die aanpak wordt dan beschreven in een omgevingsprogramma.  +

Door het Rijk vastgestelde AMVB’s en het Omgevingsbesluit zijn kaderstellend bij de het ontwikkelen/wijzigen van omgevingsvisies, omgevingsprogramma’s, projectbesluiten en omgevingsverordeningen/plannen/leggers/peilbesluiten.  +

Ook beleidsdoorwerkende besluiten vormen kaderstellende input voor het ontwikkelen/wijzigen van omgevingsvisies, omgevingsprogramma’s en omgevingsverordeningen/plannen/leggers/peilbesluiten.  +

Ook beleidsdoorwerkende besluiten vormen kaderstellende input voor het ontwikkelen/wijzigen van omgevingsvisies, omgevingsprogramma’s en omgevingsverordeningen/plannen/leggers/peilbesluiten.  +

Vastgesteld beleid en regelgeving vormt aanleiding tot (proactief) voorlichten en (reactief) beantwoorden van vragen over dat beleid c.q. de regelgeving.  +

Ook beschikbaargestelde brondata kan aanleiding vormen voor het stellen van vragen.  +

Wijzigen van informatie over objecten in de fysieke leefomgeving vormt aanleiding voor het proactief aanleveren (van die wijzigingen) aan informatiehuizen.  +

De directie stuurt niet op informatiebeveiliging. Verantwoordelijkheden richting lijnmanagers zijn niet belegd. Een informatiebeveiligingsbeleid enof ISMS ontbreekt.  +

Op beschikbaargestelde brondata kunnen terugmeldingen komen die behandeld moeten worden.  +

Onjuiste configuratie van een applicatie kan leiden tot een verkeerde verwerking van informatie.  +

Ter bescherming van informatie behoort een beleid voor het gebruik van cryptografische beheersmaatregelen te worden ontwikkeld en geïmplementeerd.  +

Er dient beleid te worden ontwikkeld en geiuml;mplementeerd met betrekking tot het gebruik de bescherming en de levensduur van cryptografische sleutels welke de gehele levensduur van de cryptografische sleutels omvat.  +

Uit de behandeling van een terugmelding kan volgen dat de gerelateerde objectinformatie aangepast moet worden.  +

Fouten in software kunnen leiden tot systeemcrashes of het corrupt raken van de in het systeem opgeslagen informatie.  +

Beveiligingszones behoren te worden gedefinieerd en gebruikt om gebieden te beschermen die gevoelige of essentiële informatie en informatie verwerkende faciliteiten bevatten.  +

Beveiligde gebieden behoren te worden beschermd door passende toegangsbeveiliging om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt.  +

Voor kantoren ruimten en faciliteiten behoort fysieke beveiliging te worden ontworpen en toegepast.  +

Tegen natuurrampen kwaadwillige aanvallen of ongelukken behoort fysieke bescherming te worden ontworpen en toegepast.  +

Voor het werken in beveiligde gebieden behoren procedures te worden ontwikkeld en toegepast.  +

Toegangspunten zoals laad- en loslocaties en andere punten waar onbevoegde personen het terrein kunnen betreden behoren te worden beheerst en zo mogelijk te worden afgeschermd van informatie verwerkende faciliteiten om onbevoegde toegang te vermijden.  +

Apparatuur behoort zo te worden geplaatst en beschermd dat risicorsquo;s van bedreigingen en gevaren van buitenaf alsook de kans op onbevoegde toegang worden verkleind.  +

Apparatuur behoort te worden beschermd tegen stroomuitval en andere verstoringen die worden veroorzaakt door ontregelingen in nutsvoorzieningen.  +

Voedings- en telecommunicatiekabels voor het versturen van gegevens of die informatiediensten ondersteunen behoren te worden beschermd tegen interceptie verstoring of schade.  +

Apparatuur behoort correct te worden onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen.  +

Apparatuur informatie en software behoren niet van de locatie te worden meegenomen zonder voorafgaande goedkeuring.  +

Bedrijfsmiddelen die zich buiten het terrein bevinden behoren te worden beveiligd waarbij rekening behoort te worden gehouden met de verschillende risicorsquo;s van werken buiten het terrein van de organisatie.  +

Alle onderdelen van de apparatuur die opslagmedia bevatten behoren te worden geverifieerd om te waarborgen dat gevoelige gegevens en in licentie gegeven software voorafgaand aan verwijdering of hergebruik zijn verwijderd of betrouwbaar veilig zijn overschreven.  +

Gebruikers moeten ervoor zorgen dat onbeheerde apparatuur voldoende beschermd is  +

Er behoort een clear desk en clear screenbeleid voor papieren documenten en verwijderbare opslagmedia en een lsquo;clear screenrsquo;-beleid voor informatie verwerkende faciliteiten te worden ingesteld.  +

Omgevingsplan of -verordening, (indirect) omgevingsvisie en (deels indirect) omgevingsprogramma’s zijn kaderstellend voor (het verkennen en vergunnen van) initiatieven in de fysieke leefomgeving.  +

In een systeem ontstaan fouten als gevolg van wijzigingen in gekoppelde systemen.  +

Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben.  +

Veranderingen in de organisatie bedrijfsprocessen informatie verwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging behoren te worden beheerst.  +

Het gebruik van middelen behoort te worden gemonitord en afgestemd en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen.  +

Ontwikkel- test- en productieomgevingen behoren te worden gescheiden om het risico van onbevoegde toegang tot of veranderingen aan de productieomgeving te verlagen.  +

Ter bescherming tegen malware behoren beheersmaatregelen voor detectie preventie en herstel te worden geiuml;mplementeerd in combinatie met een passend bewustzijn van gebruikers.  +

Regelmatig behoren back-upkopieeuml;n van informatie software en systeemafbeeldingen te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid.  +

Logbestanden van gebeurtenissen die gebruikersactiviteiten uitzonderingen en informatiebeveiligingsgebeurtenissen registreren behoren te worden gemaakt bewaard en regelmatig te worden beoordeeld.  +

Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen vervalsing en onbevoegde toegang.  +

Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld.  +

De klokken van alle relevante informatie verwerkende systemen binnen een organisatie of beveiligingsdomein behoren te worden gesynchroniseerd met één referentietijdbron.  +

Om het op operationele systemen installeren van software te beheersen behoren procedures te worden geïmplementeerd.  +

Informatie over technische kwetsbaarheden van informatiesystemen die worden gebruikt behoort tijdig te worden verkregen de blootstelling van de organisatie aan dergelijke kwetsbaarheden te worden geëvalueerd en passende maatregelen te worden genomen om het risico dat ermee samenhangt aan te pakken.  +

Voor het door gebruikers installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.  +

Auditeisen en -activiteiten die verificatie van uitvoeringssystemen met zich meebrengen behoren zorgvuldig te worden gepland en afgestemd om bedrijfsprocessen zo min mogelijk te verstoren.  +

Uit het verkennen van een initiatief kan volgen dat de initiatiefnemer kan volstaan met het doen van een melding van de voorgenomen activiteit.  +

Onvoldoende kennis of te weinig controle op andermans werk vergroot de kans op menselijke fouten. Gebruikersinterfaces die niet zijn afgestemd op het gebruikersniveau verhogen de kans op fouten.  +

Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen.  +

Beveiligingsmechanismen dienstverleningsniveaus en beheer eisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.  +

Groepen van informatiediensten -gebruikers en -systemen behoren in netwerken te worden gescheiden.  +

Ter bescherming van het informatietransport dat via alle soorten communicatiefaciliteiten verloopt behoren formele beleidsregels procedures en beheersmaatregelen voor transport van kracht te zijn.  +

Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.  +

Informatie die is opgenomen in elektronische berichten behoord passend te zijn beschermd.  +

Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen behoren te worden vastgesteld regelmatig te worden beoordeeld en gedocumenteerd.  +

Uit het verkennen van een initiatief kan volgen dat een vergunning moet worden aangevraagd, waarbij eventueel een afwijkende omgevingsactiviteit wordt vergund.  +

Het ontbreken van een beleid op bijvoorbeeld het internetgebruik vergroot de kans op misbruik.  +

De eisen die verband houden met informatiebeveiliging behoren te worden opgenomen in de eisen voor nieuwe informatiesystemen of voor uitbreidingen van bestaande informatiesystemen.  +

Informatie die deel uitmaakt van uitvoeringsdiensten en die via openbare netwerken wordt uitgewisseld behoort te worden beschermd tegen frauduleuze activiteiten geschillen over contracten en onbevoegde openbaarmaking en wijziging.  +

Informatie die deel uitmaakt van transacties van toepassingen behoort te worden beschermd ter voorkoming van onvolledige overdracht foutieve routering onbevoegd wijzigen van berichten onbevoegd openbaar maken onbevoegd vermenigvuldigen of afspelen.  +

Voor het ontwikkelen van software en systemen behoren regels te worden vastgesteld en op ontwikkelactiviteiten binnen de organisatie te worden toegepast.  +

Wijzigingen aan systemen binnen de levenscyclus van de ontwikkeling behoren te worden beheerst door het gebruik van formele procedures voor wijzigingsbeheer.  +

Als besturingsplatforms zijn veranderd behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te waarborgen dat er geen nadelige impact is op de activiteiten of de beveiliging van de organisatie.  +

Principes voor de engineering van beveiligde systemen behoren te worden vastgesteld gedocumenteerd onderhouden en toegepast voor alle verrichtingen betreffende het implementeren van informatiesystemen.  +

Organisaties behoren beveiligde ontwikkelomgevingen vast te stellen en passend te beveiligen voor verrichtingen op het gebied van systeemontwikkeling en integratie die betrekking hebben op de gehele levenscyclus van de systeemontwikkeling.  +

Uitbestede systeemontwikkeling behoort onder supervisie te staan van en te worden gemonitord door de organisatie.  +

Tijdens ontwikkelactiviteiten behoort de beveiligingsfunctionaliteit te worden getest.  +

Voor nieuwe informatiesystemen upgrades en nieuwe versies behoren programmarsquo;s voor het uitvoeren van acceptatietests en gerelateerde criteria te worden vastgesteld.  +

Testgegevens behoren zorgvuldig te worden gekozen beschermd en gecontroleerd.  +

Bij het behandelen van een melding kan blijken dat toch een vergunningaanvraag nodig is. Het omgekeerde is overigens ook mogelijk.  +

Door onvoldoende controle op de uitgifte en onjuiste inventarisatie van bedrijfsmiddelen bestaat de kans dat diefstal niet of te laat wordt opgemerkt.  +

Met de leverancier behoren de informatiebeveiligingseisen om risicorsquo;s te verlagen die verband houden met de toegang van de leverancier tot de bedrijfsmiddelen van de organisatie te worden overeengekomen en gedocumenteerd.  +

Alle relevante informatiebeveiligingseisen behoren te worden vastgesteld en overeengekomen met elke leverancier die toegang heeft tot IT- infrastructuurelementen ten behoeve van de informatie van de organisatie of deze verwerkt opslaat communiceert of biedt.  +

Overeenkomsten met leveranciers behoren eisen te bevatten die betrekking hebben op de informatiebeveiligingsrisicorsquo;s in verband met de toeleveringsketen van de diensten en producten op het gebied van informatie- en communicatietechnologie.  +

Organisaties behoren regelmatig de dienstverlening van leveranciers te monitoren te beoordelen en te auditen.  +

Veranderingen in de dienstverlening van leveranciers met inbegrip van handhaving en verbetering van bestaande beleidslijnen procedures en beheersmaatregelen voor informatiebeveiliging behoren te worden beheerd rekening houdend met de kritikaliteit van bedrijfsinformatie betrokken systemen en processen en herbeoordeling van risicorsquo;s.  +

Uit de verkenning of vergunningsprocedure kan volgen dat aanpassing van de kaders (m.n. omgevingsplan of -verordening) gewenst is om het initiatief mogelijk te maken.  +

Door het ontbreken van sancties op het overtreden van regels bestaat de kans dat medewerkers de beleidsmaatregelen niet serieus nemen.  +

Directieverantwoordelijkheden en -procedures behoren te worden vastgesteld om een snelle doeltreffende en ordelijke respons op informatiebeveiligingsincidenten te bewerkstelligen.  +

Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd.  +

Van medewerkers en contractanten die gebruikmaken van de informatiesystemen en -diensten van de organisatie behoort te worden geeuml;ist dat zij de in systemen of diensten waargenomen of vermeende zwakke plekken in de informatiebeveiliging registreren en rapporteren.  +

Informatiebeveiligingsgebeurtenissen behoren te worden beoordeeld en er behoort te worden geoordeeld of zij moeten worden geclassificeerd als informatiebeveiligingsincidenten  +

Op informatiebeveiligingsincidenten behoort te worden gereageerd in overeenstemming met de gedocumenteerde procedures.  +

Kennis die is verkregen door informatiebeveiligingsincidenten te analyseren en op te lossen behoort te worden gebruikt om de waarschijnlijkheid of impact van toekomstige incidenten te verkleinen.  +

De organisatie behoort procedures te definiëren en toe te passen voor het identificeren verzamelen verkrijgen en bewaren van informatie die als bewijs kan dienen.  +

Meldingen van een activiteit en verleende (of geweigerde) vergunningen vormen aanleiding tot toezicht en handhaving.  +

Het toelaten van externen zoals leveranciers en projectpartners kunnen gevolgen hebben voor de vertrouwelijkheid van de informatie die binnen het pand of via het netwerk beschikbaar is.  +

De organisatie behoort haar eisen voor informatiebeveiliging en voor de continuïteit van het informatiebeveiligingsbeheer in ongunstige situaties bijv. een crisis of een ramp vast te stellen.  +

De organisatie behoort processen procedures en beheersmaatregelen vast te stellen te documenteren te implementeren en te handhaven om het vereiste niveau van continuïteit voor informatiebeveiliging tijdens een ongunstige situatie te waarborgen.  +

De organisatie behoort de ten behoeve van informatiebeveiligingscontinuïteit vastgestelde en geiuml;mplementeerde beheersmaatregelen regelmatig te verifieuml;ren om te waarborgen dat ze deugdelijk en doeltreffend zijn tijdens ongunstige situaties.  +

Informatie verwerkende faciliteiten behoren met voldoende redundantie te worden geïmplementeerd om aan beschikbaarheidseisen te voldoen.  +

Het melden van overlast c.q. doen van een handhavingsverzoek kan voor de gemeente aanleiding zijn tot opsporen wanneer strafbare feiten worden vermoed.  +

Door het verlies van mobiele apparatuur en opslagmedia bestaat de kans op inbreuk op de vertrouwelijkheid van gevoelige informatie.  +

Alle relevante wettelijke statutaire regelgevende contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen behoren voor elk informatiesysteem en de organisatie expliciet te worden vastgesteld gedocumenteerd en actueel gehouden.  +

Om de naleving van wettelijke regelgevende en contractuele eisen in verband met intellectuele eigendomsrechten en het gebruik van eigendomssoftwareproducten te waarborgen behoren passende procedures te worden geïmplementeerd.  +

Registraties behoren in overeenstemming met wettelijke regelgevende contractuele en bedrijfseisen te worden beschermd tegen verlies vernietiging vervalsing onbevoegde toegang en onbevoegde vrijgave.  +

Privacy en bescherming van persoonsgegevens behoren voor zover van toepassing te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.  +

Cryptografische beheersmaatregelen behoren te worden toegepast in overeenstemming met alle relevante overeenkomsten wet- en regelgeving.  +

De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan bijv. beheerdoelstellingen beheersmaatregelen beleidsregels processen en procedures voor informatiebeveiliging behoren onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen te worden beoordeeld.  +

De directie behoort regelmatig de naleving van de informatieverwerking en - procedures binnen haar verantwoordelijkheidsgebied te beoordelen aan de hand van de desbetreffende beleidsregels normen en andere eisen betreffende beveiliging.  +

Informatiesystemen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging.  +

Het melden van overlast c.q. doen van een handhavingsverzoek kan voor de gemeente aanleiding zijn tot (extra) toezichthouden.  +

Door onvoldoende mogelijkheid op controle op een identiteit kan ongeautoriseerde toegang verkregen worden tot vertrouwelijke informatie. Denk hierbij ook aan social engineering zoals phishing en CEO-fraude.  +

Lijnmanagers zorgen er onvoldoende voor dat informatiebeveiliging binnen hun afdeling op de juiste manier wordt ingevuld. Het eigenaarschap van informatiesystemen is niet goed belegd. Beveiliging vormt geen vast onderdeel van projecten.  +

Het toezichthouden kan leiden tot opsporen als er sprake lijkt van strafbare feiten.  +

Door onvoldoende controle op medewerkers met bijzondere rechten zoals systeembeheerders bestaat de kans op ongeautoriseerde toegang tot gevoelige informatie.  +

Het toezichthouden kan leiden tot het opleggen van een sanctie als strijdigheid met regels/vergunningen wordt geconstateerd.  +

Door een ontbrekend onjuist of onduidelijk proces voor het uitdelen en innemen van rechten kan een persoon onbedoeld meer rechten hebben. Deze rechten kunnen door deze persoon zelf of door anderen bijv. via malware misbruikt worden.  +

Het opleggen van een sanctie kan leiden tot het toepassen van de sanctie als tijdens het toezicht is gebleken dat de overtreding niet is opgeheven na het opleggen.  +

Het ontbreken van een wachtwoordbeleid en bewustzijn bij medewerkers kan leiden tot het gebruik van zwakke wachtwoorden het opschrijven van wachtwoorden of het gebruik van hetzelfde wachtwoord voor meerdere systemen.  +

Het opleggen van een sanctie kan aanleiding zijn tot (versterkt) toezichthouden ter controle of de overtreding wordt opgeheven, met name bij formele handhavingsbesluiten.  +

Door het ontbreken van een clear-desk enof clear-screen policy kan toegang verkregen worden tot gevoelige informatie.  +

Het toepassen van een sanctie kan aanleiding zijn tot (versterkt) toezichthouden om vast te stellen of de overtreding is opgeheven of een nieuwe sanctie moet opgelegd.  +

Door onduidelijkheid over vertrouwelijkheid van informatie van informatie en bevoegdheid van personen bestaat de kans op ongeautoriseerde toegang tot gevoelige informatie.  +

Het opleggen van een sanctie is een formeel besluit en staat open voor bezwaar en/of beroep.  +

Gevoelige informatie kan lekken indien opslagmedia of systemen welke opslagmedia bevatten worden weggegooid of ter reparatie aan derden worden aangeboden.  +

Het verlenen of weigeren van een vergunning, en het opleggen van maatwerkvoorschriften is een formeel besluit dat open staat voor bezwaar en/of beroep.  +

Kwetsbaarheden in applicaties of hardware worden misbruikt exploits om ongeautoriseerde toegang te krijgen tot een applicatie en de daarin opgeslagen informatie.  +

De vaststelling van een omgevingsprogramma en de vaststelling van wijzigingen in omgevingsplan of -verordening zijn formele besluiten die open staan voor bezwaar en/ of beroep (voor een programma betreft dat alleen de direct bindende onderdelen).  +

Zwakheden in de beveiliging van het draadloze netwerk worden misbruikt om toegang te krijgen tot dit netwerk.  +

Doordat externe partijen leveranciers hun informatiebeveiliging niet op orde hebben kunnen inbreuken ontstaan op de informatie waar zij toegang tot hebben  +

Informatie die voor toegestaan gebruik meegenomen wordt naar bijvoorbeeld buiten het kantoor wordt niet meer op de juiste wijze beschermd. Denkbij ook aan Bring Your Own Device BYOD.  +

Binnen projecten exclusief softwareontwikkeling is onvoldoende aandacht voor beveiliging. Dit heeft negatieve gevolgen voor nieuwe systemen en processen die binnen de organisatie worden geïntroduceerd.  +

Door middel van keyloggers of netwerktaps wordt gevoelige informatie achterhaald  +

Inbreuk op vertrouwelijkheid van informatie door onversleuteld versturen van informatie  +

Inbreuk op vertrouwelijkheid van informatie door het onvoldoende controleren van ontvanger  +

Informatie gaat verloren door onleesbaar geraken van medium of gedateerd raken van bestandsformaat  +

Ongewenste handelingen als gevolg van foutieve bedrijfsinformatie of het toegestuurd krijgen van foutieve informatie. Dit kan zijn als gevolg van moedwillig handelen of van een vergissing  +

Door een onjuist of ontbrekend sleutelbeheer bestaat de kans op misbruik van cryptografische sleutels. Het gebruik van zwakke cryptografische algoritmen biedt schijnveiligheid  +

Door wetgeving in sommige landen kan de overheid van zon land inzage krijgen in informatie welke in de cloud ligt opgeslagen  +

Door wetgeving in sommige landen kan de overheid inzage eisen in de gegevens op meegenomen systemen bij een bezoek aan dat land  +

Door wetgeving in sommige landen kan de overheid een kopie van cryptografische sleutels opeisen  +

De gevolgen van incidenten worden hierdoor onnodig groot. Binnen het bedrijf is er onvoldoende netwerkmonitoring en is er geen centraal meldpunt voor beveiligingsincidenten  +

Het ontbreekt de medewerkers aan bewustzijn op het gebied van informatiebeveiliging en voelen onvoldoende noodzaak daaraan bij te dragen.  +

Systeembeheerders hebben onvoldoende technische informatie over het probleem om het te kunnen oplossen. Een actieplan ontbreekt waardoor het incident onnodig lang blijft duren  +

Veroorzakers van incidenten worden niet aangesproken op hun handelen. Managers hebben onvoldoende zicht op herhalende incidenten waardoor zij daar niet op sturen  +

Het ontbreken van toegangspasjes zicht op ingangen en bewustzijn bij medewerkers vergroot de kans op ongeautoriseerde fysieke toegang  +

Het ontbreken van brandmelders en brandblusapparatuur vergroten de gevolgen van een brand  +

Explosies kunnen leiden tot schade aan het gebouw en apparatuur en slachtoffers  +

Overstroming en wateroverlast kunnen zorgen voor schade aan computers en andere bedrijfsmiddelen  +

Verontreininging van de omgeving kan ertoe leiden dat de organisatie tijdelijk niet meer kan werken  +

Uitval van facilitaire middelen kan tot gevolg hebben dat een of meerdere bedrijfsonderdelen hun werk niet meer kunnen doen  +

Schade aan of vernieling van bedrijfseigendommen als gevolg van een ongerichte actie zoals vandalisme of knaagdieren  +

Het niet meer beschikbaar zijn van diensten van derden door uitval van systemen faillissement ongeplande contractbeïndiging of onacceptabele wijziging in de dienstverlening bijvoorbeeld door bedrijfsovername  +

Onvoldoende aandacht voor beveiliging bij het zelf of laten ontwikkelen van software leidt tot inbreuk op de informatiebeveiliging.  +

Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd goedgekeurd door de directie gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.  +

Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen te worden beoordeeld om te waarborgen dat het voortdurend passend adequaat en doeltreffend is.  +

Voor software die niet meer ondersteund wordt worden geen securitypatches meer uitgegeven. Denk ook aan Excel- en Access-applicaties  +

Medewerkers die het bedrijf verlaten of door een ongeval voor lange tijd niet inzetbaar zijn bezitten kennis die daardoor niet meer beschikbaar is  +

Informatie op een systeem is ontoegankelijk gemaakt doordat malware ransomware wipers of een aanvaller deze informatie heeft versleuteld of verwijderd.  +

Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen.  +

Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.  +

Er behoren passende contacten met relevante overheidsinstanties te worden onderhouden.  +

Informatiebeveiliging behoort aan de orde te komen in projectbeheer ongeacht het soort project.  +

Beleid en ondersteunende beveiligingsmaatregelen behoren te worden vastgesteld om de risicorsquo;s die het gebruik van mobiele apparatuur met zich meebrengt te beheren.  +

Beleid en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van informatie die vanaf telewerklocaties wordt benaderd verwerkt of opgeslagen  +

Een netwerkdienst is verminderd beschikbaar door een moedwillige aanval DoS of door onvoorziene toename van de hoeveelheid verzoeken of van de benodigde resources om een verzoek af te handelen. Verzoeken kunnen komen vanuit gebruikers maar ook vanuit andere systemen.  +

Verificatie van de achtergrond van alle kandidaten voor een dienstverband behoort te worden uitgevoerd in overeenstemming met relevante wet- en regelgeving en ethische overwegingen en behoort in verhouding te staan tot de bedrijfseisen de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico's te zijn.  +

De contractuele overeenkomst met medewerkers en contractanten behoort hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie te vermelden.  +

De directie behoort van alle medewerkers en contractanten te eisen dat ze informatiebeveiliging toepassen in overeenstemming met de vastgestelde beleidsregels en procedures van de organisatie.  +

Alle medewerkers van de organisatie en voor zover relevant contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie voor zover relevant voor hun functie.  +

Er behoort een formele en gecommuniceerde disciplinaire procedure te zijn om actie te ondernemen tegen medewerkers die een inbreuk hebben gepleegd op de informatiebeveiliging.  +

Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beeuml;indiging of wijziging van het dienstverband behoren te worden gedefinieerd gecommuniceerd aan de medewerker of contractant en ten uitvoer gebracht.  +

Door onvoldoende grip op de beveiliging van prive- en thuisapparatuur en andere apparatuur van derden bestaat de kans op bijvoorbeeld besmetting met malware.  +

Informatie andere bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten behoren te worden geiuml;dentificeerd en van deze bedrijfsmiddelen behoort een inventaris te worden opgesteld en onderhouden.  +

Bedrijfsmiddelen die in het inventarisoverzicht worden bijgehouden behoren een eigenaar te hebben.  +

Voor het aanvaardbaar gebruik van informatie en van bedrijfsmiddelen die samenhangen met informatie en informatie verwerkende faciliteiten behoren regels te worden geïdentificeerd gedocumenteerd en geiuml;mplementeerd.  +

Alle medewerkers en externe gebruikers moeten alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben bij beïndiging van hun dienstverband contract of overeenkomst terug te geven.  +

Informatie behoort te worden geclassificeerd met betrekking tot wettelijke eisen waarde belang en gevoeligheid voor onbevoegde bekendmaking of wijziging.  +

Om informatie te labelen behoort een passende reeks procedures te worden ontwikkeld en geiuml;mplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.  +

Procedures voor het behandelen van bedrijfsmiddelen behoren te worden ontwikkeld en geiuml;mplementeerd in overeenstemming met het informatieclassificatieschema dat is vastgesteld door de organisatie.  +

Voor het beheren van verwijderbare media behoren procedures te worden geiuml;mplementeerd in overeenstemming met het classificatieschema dat door de organisatie is vastgesteld  +

Media behoren op een veilige en beveiligde manier te worden verwijderd als ze niet langer nodig zijn overeenkomstig formele procedures.  +

Media die informatie bevatten behoren te worden beschermd tegen onbevoegde toegang misbruik of corruptie tijdens transport.  +

Uit de oriëntatiefase kan blijken dat een voorgenomen activiteit gemeld moet worden.  +

De ingediende melding wordt door het bevoegd gezag in behandeling genomen.  +

Uit de oriëntatiefase kan blijken dat een vergunning/ontheffing aangevraagd moet worden.  +

De ingediende vergunningaanvraag wordt door het bevoegde gezag in behandeling genomen.  +

Verwerken van ingediende zienswijzen is deel van het beleids en regelgevingsproces.  +

Verwerken van zienswijzen is deel van de uitgebreide procedure bij de behandeling van vergunningaanvragen.  +

Een door een ingediend bezwaar wordt door het bevoegd gezag behandeld.  +

Een beroepszaak tegen een genomen besluit behoeft verweer van het bevoegd gezag.  +

Een melding incident of handhavingsverzoek wordt behandeld door het bevoegd gezag.  +

Hardware van onvoldoende kwaliteit kan leiden tot uitval van systemen.  +

Een beleid voor toegangsbeveiliging behoort te worden vastgesteld gedocumenteerd en beoordeeld op basis van bedrijfs- en informatiebeveiligingseisen.  +

Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn.  +

Een formele registratie- en afmeldingsprocedure behoort te worden geiuml;mplementeerd om toewijzing van toegangsrechten mogelijk te maken.  +

Een formele gebruikerstoegangsverleningsprocedure behoort te worden geiuml;mplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.  +

Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst.  +

Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces.  +

Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen.  +

De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatie verwerkende faciliteiten behoren bij beïndiging van hun dienstverband contract of overeenkomst te worden verwijderd en bij wijzigingen behoren ze te worden aangepast.  +

Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie-informatie houden aan de praktijk van de organisatie.  +

Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging.  +

Indien het beleid voor toegangsbeveiliging dit vereist behoort toegang tot systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure.  +

Systemen voor wachtwoordbeheer behoren interactief te zijn en sterke wachtwoorden te waarborgen.  +

Het gebruik van systeemhulpmiddelen die in staat zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen behoort te worden beperkt en nauwkeurig te worden gecontroleerd.  +

Toegang tot de programmabroncode behoort te worden beperkt.  +

Ingediende terugmeldingen worden behandeld door het bevoegd gezag.  +

Stelling: We ontwikkelen ons informatiestelsel samen door co-creatie. Rationale: *Co-creatie is een vorm van samenwerking, waarbij alle deelnemers invloed hebben op het proces en het resultaat van dit proces. *Voor het informatiestelsel wordt een federatief model gehanteerd voor de ontwikkeling en het beheer van het stelsel. *Het beheer wordt uitgevoerd via een federatie van waterschappen die in opdracht van de Unie van Waterschappen samenwerken aan het informatiestelsel. *Federatief wordt als een organisatievorm gedefinieerd waarbij ieder waterschap haar eigen autonomie en zelfstandigheid behoudt, en waarbij de waterschappen gezamenlijk verantwoordelijk zijn voor de generieke afspraken die in de Unie van Waterschappen gemaakt worden. De waterschappen zijn daar ook aan gehouden. *Voordelen van co-creatie: **werken op basis van relevantie; alle betrokken vragers/aanbieders werken samen. **draagvlak door open karakter **motiverend omdat het aansluit op wensen van de betrokkenen **resultaat van hogere kwaliteit door verschillende percepties **grotere kans van slagen door breed draagvlak **gedeelde investering Implicaties: *We werken samen (via HWH / IHW) en zijn gezamenlijk verantwoordelijk voor de definitie en het beheer van bouwstenen. *We zorgen zelf voor de implementatie van gegevensdiensten. Voorbeelden: *De referentiearchitectuur van het informatiestelsel (WILMA) is gezamenlijk ontwikkeld, is open en mag door iedereen worden gebruikt. Voorbeelden ketensamenwerken: **Samenwerken met de markt (o.a. Bouwend Nederland, Vereniging van Waterbouwers, MKB Infra, NLingenieurs, UNETO-VNI, ENVAQUA, CUMELA) : https://www.uvw.nl/thema/zaken-doen-met-de-markt/samenwerken-met-de-markt-financien/ **Samenwerking spitst zich vooral ook toe op innovatie: https://www.uvw.nl/thema/innovatie/innovatie-etalage/ **Samenwerking in de keten: https://www.uvw.nl/thema/waterkwaliteit/waterketen/ *Onder andere op het gebied van: **Kennisontwikkeling (o.a. met STOWA, Deltares en KWR), **Standaarden: IHW **Stedelijk water (Rioned) **Samenwerking met Drinkwaterbedrijven **CDL, DSO  

Stelling: We initiëren en dragen in samenwerking actief bij aan innovaties en passen kansrijke innovaties vervolgens toe met als doel om ook in de toekomst onze taken optimaal te kunnen vervullen in een omgeving die sterk in ontwikkeling is. Rationale: *We erkennen dat we lerende zijn en continu moeten werken aan verbetering. *Leren is een continu proces, ook voor het informatiestelsel. Leren van fouten, maar ook leren door nieuwe innovaties, nieuwe informatietechnologie en door nieuwe of voortschrijdende inzichten. Om voor het domein water, maar vooral voor burger en bedrijf relevant en betrouwbaar te blijven, moet het informatiestelsel zich blijven ontwikkelen. Implicaties: *We dragen actief bij aan innovatie. *We doen dit bij voorkeur in samenwerking (met andere waterschappen, met andere overheden, kennisinstituten en ketenpartners, met de markt). *We maken daarbij een afweging tussen het maatschappelijk belang van de innovatie en de maatschappelijke kosten die daaruit voortvloeien. Voorbeelden: *Data science *Toepassing van sensoren (IoT) *Beslissingsondersteunende systemen voor procesoptimalisatie en in crisis-situaties  +

Stelling: Gegevens hebben één authentieke bron en worden rechtstreeks ontleend aan- of zijn direct herleidbaar naar deze bron. Rationale: *De bronregistratie is de plaats waar het gegeven of document voor het eerst wordt vastgelegd. De eigenaar van de bronregistratie is verantwoordelijk voor de kwaliteit van de informatie-objecten in de registratie. Bronregistraties kennen diverse verschijningsvormen, bijvoorbeeld databases en registraties, zoals de basis- en kernregistraties, maar ook websites, publicaties, rapporten en wiki's. *Voor de overheid als geheel zijn deze bronregistraties leidend. Indien informatie-objecten in meerdere gelijksoortige registraties voorkomen, gelden alleen informatie-objecten in de bronregistratie als betrouwbaar. *Om technische redenen kunnen kopieën van gegevensbestanden en documenten noodzakelijk zijn. Deze kopieën worden gevoed vanuit de authentieke bron middels goed geborgde procedures. Als een gekopieerd informatie-object toch afwijkt van de bronregistratie, wordt het object uit de bronregistratie als juist aangemerkt. Implicaties: *Alle gebruikte informatieobjecten zijn afkomstig uit een bronregistratie. *Voor betrouwbare dienstverlening is het gebruik van de juiste gegevens en documenten cruciaal. Uitgangspunt is daarom dat er binnen de overheid voor ieder informatie-object één unieke bron bestaat, door NORA gedefinieerd als bronregistratie *Ieder waterschap implementeert haar eigen gegevensdienst en ontsluit gegevens waarvan zij de bron is. *We borgen de onweerlegbaarheid van de bron van onze gegevens. *Landelijke Basisregistratiegegevens worden ontvangen en ontsloten via een centraal distributiepunt (de “aansluiting”). *De bronsystemen stellen de data beschikbaar voor interne processen/voorzieningen. *Er wordt onderscheid gemaakt in procesgegevens, kerngegevens en basisgegevens. *Procesgegevens die alleen binnen een bedrijfsfunctie gebruikt worden, hoeven niet aan alle eisen te voldoen die gesteld worden aan kerngegevens en basisgegevens. *Gegevens zijn herleidbaar tot de bron. *Opgeslagen gegevens zijn altijd voorzien van voldoende begeleidende informatie ten behoeve van beheer en ontsluiting. *Er zijn interne afspraken gemaakt over terugmeldplicht bij constatering van foutieve gegevens. *Als eigen kopieën van bronregistratiegegevens worden vastgelegd, dan moeten deze actueel gehouden worden. Dit dient bij voorkeur automatisch te gebeuren. *Het bronhouderschap wordt expliciet belegd. *Om te voldoen aan de AVG geldt dat persoonsgegevens bij publiekrechtelijke toepassingen moeten kunnen worden herleid naar de authentieke bron (BRP). Voorbeelden: *Een waterschap ontsluit gegevens via haar Kernregistratie Waterschap. *De CDL heeft een aggregatiedienst voor het toegankelijk maken van gegevens uit verschillende bronnen (via PDOK/INSPIRE). *Personeelsgegevens worden in het personeelsinformatiesysteem beheerd en gebruikt in diverse andere systemen. Geborgd wordt dat deze gegevens in andere systemen vanuit het personeelsinformatiesysteem worden geactualiseerd. *Gegevens uit de BAG (Basisregistratie Adressen en Gebouwen) worden centraal ontsloten vanuit de landelijke basisregistratie. *Als een fout wordt geconstateerd in één van de kernregistraties van het waterschap, dan wordt dit terug gemeld aan de bronhouder. *Als een fout wordt geconstateerd in een (landelijke) registratie, die niet door het waterschap wordt beheerd, wordt dit niet in de afnemende waterschapssystemen aangepast, maar terug gemeld aan de externe bronhouder?.  

Stelling: We minimaliseren de hoeveelheid gegevens die we registreren, vanuit overwegingen van efficiëntie en effectiviteit. Rationale: *Het verzamelen, beheren en verwerken van data vergt een grote inspanning. Voor grote hoeveelheden data geldt bovendien ook dat dit een hogere belasting van de infrastructuur veroorzaakt. De hieruit voorvloeiende kosten moeten worden afgewogen tegen de beoogde baten, namelijk het doel, waarvoor de gegevens worden vastgelegd en verwerkt. *Het registreren en uitwisselen van (grote hoeveelheden) persoonsgegevens heeft bovendien gevolgen voor de privacy van betrokken personen. Een afweging op doelbinding moet worden gemaakt om te bepalen of gebruik en verwerking van deze gegevens gerechtvaardigd is. *Vanuit het belang van doelbinding, gegevensbescherming, efficiency en doelmatigheid wordt daarom gekozen voor optimalisatie van de hoeveelheid gegevens. Implicaties: *We leggen niet meer vast dan wat vanuit de primaire processen noodzakelijk is, geoptimaliseerd vanuit het gebruiksdoel. *We wisselen niet meer gegevens uit dan wat in relatie tot het doel noodzakelijk is en vanuit de primaire processen is vastgelegd. *We controleren periodiek dat gegevensuitwisseling en doel in lijn met elkaar zijn, en dat bijhouding van overbodige gegevens wordt voorkomen of gestopt. *We wisselen alleen gegevens uit die door ons zelf zijn geregistreerd, dus waarvan het waterschap de bron is. In andere gevalle verwijzen wij naar de authentieke bron. Voorbeelden: *In plaats van het opvragen van wat-informatie (welke vergunning heeft iemand) kan ook gevraagd worden om ‘dat-informatie’: is een vergunning of bezwaar/beroep in behandeling?, of het aantal vergunningen/bezwaren per werkgebied. *Een waterschap heeft in een effectbeoordeling voor gegevensbescherming moeten aantonen dat het principe van dataminimalisatie is toegepast en dat de hoeveelheid data proportioneel is. *De gegevens die een gemeente of een andere ketenpartij met een waterschap heeft gedeeld zijn niet opgenomen in de data die het waterschap deelt.  

Stelling: Er is centrale regie op ICT en informatievoorziening volgens een vastgesteld besturingsmodel. Rationale: *Regie maakt betere en makkelijker beschikbare managementinformatie mogelijk. *Centrale regie is nodig om een efficiënt ingerichte integrale informatievoorziening te kunnen realiseren. *Het maakt integrale besturing van alle typen informatievoorziening en automatisering mogelijk. *Eigenaarschap moet belegd zijn om: **regie te kunnen voeren en besluiten te kunnen nemen **afspraken te kunnen maken **iemand te kunnen aanspreken op de kwaliteit *Duidelijk eigenaarschap maakt het mogelijk om het beheer van informatiesystemen daarop af te stemmen. Door dit op eenduidige wijze te laten plaatsvinden, kunnen we: **(beheer)kosten besparen **kwaliteit verhogen **kwetsbaarheid verminderen Implicaties: *Regie gaat over alle typen informatievoorziening en automatisering en geldt per organisatie-eenheid. *Elk gegeven, elke applicatie, en alle hiervoor benodigde IT-infrastructuur (met uitzondering van cloud, waarvoor de verantwoordelijkheid bij de leverancier ligt) heeft binnen het waterschap één eigenaar. Dit geldt ook voor alle hiervoor benodigde processen (met name ITIL, BISL en in uitzonderlijke situaties ASL). *Het is niet mogelijk om eigenaarschap echt voor elk gegeven te beleggen, dus er moet een heldere indeling worden gemaakt waaruit het gegevenseigenaarschap kan worden afgeleid. *Er wordt een integraal besturingsmodel ontworpen en ingericht. *Het besturingsmodel moet de aansturing van alle typen informatievoorziening en automatisering bevatten en de onderlinge afstemming en afbakening, en de verantwoordelijkheden moeten hierin beschreven en eenduidig belegd worden. *Bij het opstellen van beleid (informatiebeleid, beveiligingsbeleid) worden alle typen informatievoorziening, automatisering en beheer betrokken. *Er is sturing vanuit architectuur op (ICT)-projectportfoliomanagement. *Voor alle typen automatisering en applicaties is het werken onder architectuur van toepassing. *Voor alle typen automatisering wordt dezelfde beheermethodiek toegepast. *Er is overzicht nodig van alle ICT gerelateerde kosten en mensuren in de organisatie. *Iedere eigenaar (van gegevens, applicaties, infrastructuur) moet weten wat zijn verantwoordelijkheden zijn en moet in staat gesteld worden deze op zich te nemen. *De eigenaar zorgt voor het vaststellen van de eisen. *Iedere eigenaar moet rekening houden met de eisen vanuit alle belanghebbende processen. *Beheer wordt afgestemd op de gestelde eisen. Voorbeelden: *Verschillende typen automatisering zijn o.a.: Procesautomatisering, kantoorautomatisering, GIS, administratieve automatisering. *Gegevens vanuit de technische procesautomatisering en de administratieve automatisering kunnen op management¬informatieniveau integraal geleverd worden. Een voorbeeld hiervan is de applicatie Z-Info voor Zuiveren die o.a. gevuld wordt met (geaggregeerde) gegevens uit de procesautomatisering. *Een nieuwe applicatie kan pas worden geïntroduceerd na een goedkeuringsproces via het besturingsmodel. *Een eigenaar van een applicatie stemt wijzigingen in een applicatie af met alle belanghebbende processen die gebruik maken van deze applicatie. *Een eigenaar van een primair gegeven is er verantwoordelijk voor dat een bepaald gegeven beschikbaar is voor elk proces dat dat gegeven nodig heeft. *Een proceseigenaar is er verantwoordelijk voor dat de producten die het proces oplevert voldoen aan de eisen van de afnemende processen. Afspraken over ITIL en BISL processen worden waar relevant vastgelegd in een dienstverleningsovereenkomst (DVO of SLA). Deze hebben een directe relatie met dienstverleningsovereenkomsten met externe (cloud)leveranciers.  

Stelling: Sourcing, zowel voor het uitvoeren van processen, het verzorgen van de informatievoorziening als het verzorgen van de daarvoor benodigde technologie wordt bepaald aan de hand van een vastgesteld afwegingskader. Rationale: *Wat doen we zelf, wat besteden we uit, en wanneer doen we dit in samenwerking (met collega waterschappen en ketenpartners)? Dat is waar het bij sourcing om draait. Afhankelijk van de producten en diensten van een organisatie kan het antwoord op die vraag verschillend zijn. De uitdaging is om tot een optimale ‘sourcingsmix’ te komen die past bij de organisatie. Dit kan aan de hand van een sourcingsstrategie; een afwegingskader om tot een optimale sourcingsmix te komen. *De informatievoorziening is verweven met alle primaire en ondersteunende processen. Dat maakt het onmogelijk om over de informatievoorziening als geheel één sourcingskeuze te maken. Er zal per proces of dienst een sourcingsvorm gekozen moeten worden. *Sourcingsstrategie zorgt voor een gestructureerde afweging van kosten, kwaliteit, kwetsbaarheid en doelmatigheid bij het in eigen beheer houden of uitbesteden (onder regie) van taken. Implicaties: *Processen en diensten moeten goed beschreven zijn om sourcingskeuzes te kunnen maken. *In geval van langdurige inhuur deze heroverwegen: kiezen voor andere sourcingsvorm (bijvoorbeeld formatie uitbreiden of activiteiten als dienst outsourcen). *Het kan personele consequenties hebben wanneer blijkt dat processen en diensten die nu door het waterschap zelf worden uitgevoerd beter door een Shared Service Center of door de markt uitgevoerd kunnen worden. *Voor de technologie en informatievoorziening geldt dat er een directe samenhang is tussen de keuze voor cloud (Infrastructure-, Platform- , Software en Data as a Service) en sourcing. Immers, veel beheertaken verschuiven bij een keuze voor cloud naar de leverancier. Er moet cloudbeleid (uitgangspunten en afwegingskader) worden opgesteld in samenhang met het sourcingsbeleid. Voorbeelden: *Kern- of regietaak: Met eigen personeel de visie op informatievoorziening bepalen. *Tijdelijke capaciteit: Inhuren van een projectleider voor een Windowsmigratie. *Tijdelijke kennis: Het (regelmatig) laten testen van de beveiliging van de infrastructuur door een gespecialiseerde marktpartij. *Indien een organisatie actief de stap wil vormgeven richting cloud, dan kan ze ze dit opnemen in haar meerjaren informatiebeleidsplan.  

Stelling: Bij vernieuwing van de informatievoorziening vindt realisatie van functionaliteiten plaats in de volgorde: 1. Hergebruik eigen voorzieningen 2. Kopen standaard voorzieningen 3. Maatwerk realiseren Rationale: *Doelmatigheid: maatwerk brengt hogere kosten met zich mee en vraagt meer capaciteit op het vlak van onderhoud en beheer. Implicaties: *Procesaanpassing gaat voor systeemaanpassing, om zoveel mogelijk te voorkomen dat er maatwerk nodig is. *Er wordt één applicatie ingezet per type functionaliteit. *Bij vernieuwing van informatievoorziening moet de nieuwe functionaliteit goed geanalyseerd worden om te kunnen bepalen of er overlap is met bestaande applicaties. *Voor elke applicatie moet bepaald worden voor welke functionaliteit(en) het wordt ingezet. Voorbeelden: *Bij aanschaf van een standaard applicatie wordt het werkproces op onderdelen aangepast, zodat de applicatie niet aangepast hoeft te worden. *Voor bedrijfs-brede (over meerdere bedrijfsfuncties heen) rapportages wordt één rapportagesysteem gebruikt. *Voor tijdregistratie wordt één systeem gebruikt.  +

Stelling: Processen maken gebruik van functionaliteit die wordt geleverd door services. Rationale: *Functionaliteiten die door middel van services ontsloten worden, anticiperen op onvoorziene afnemers en gebruik. Toepassing van dit principe maakt de applicatieservices interoperabel en bruikbaar voor een zo groot mogelijke groep processen. Dit draagt bij aan een hoger rendement van de door de applicatieservice ontsloten functionaliteit. *Het maken van service afspraken voor gebruik en te leveren resultaten maakt ontkoppeling van de achterliggende technologie mogelijk. Hierdoor worden functionaliteiten en applicaties makkelijker vervangbaar. *De afnemer van een service heeft geen kennis nodig over de implementatie ervan. *Hergebruik van functionaliteit en data wordt eenvoudiger. *Flexibiliteit; aanpassingen zijn makkelijker door te voeren. Implicaties: *Bij een service horen afspraken over de inhoud en de kwaliteit ervan. *Services leveren deze functionaliteit aan de afnemer op een gestandaardiseerde manier terwijl de interne werking voor de afnemer verborgen blijft. *Service-governance is ingericht. Services hebben een eigenaar en van alle services is een actuele definitie beschikbaar *Van nieuwe applicaties wordt verwacht dat zij service-georiënteerd zijn *Applicatie-integratie is gebaseerd op voorzieningen die services kunnen afhandelen *Verschuiving in kennis richting service-oriëntatie *Voor het geautomatiseerd uitwisselen van informatie tussen applicaties wordt gebruikt gemaakt van services. Dit geldt zowel binnen het interne applicatielandschap als voor uitwisseling met externe partijen. Voorbeelden: *Een catalogus van services is beschikbaar en deze wordt gebruikt bij het invullen van functionele behoeften. *Van applicaties die met documenten werken (bv. zaaksysteem, samenwerkingsportaal, personeelsinformatiesysteem) wordt verwacht dat zij met behulp van services de documenten kunnen opslaan in het DMS. *Een incidentservice haalt gegevens van de locatie uit GIS en van de afhandeling uit het zaaksysteem.  

Stelling: We gebruiken functionaliteiten die los van elkaar kunnen werken en kunnen samenwerken via gestandaardiseerde diensten. Rationale: *Ontkoppeling draagt bij aan wendbaarheid en robuustheid. Implicaties: *Functionaliteiten beperken zich tot hun kern (‘do one thing and do it well’). *Functionaliteit wordt afgebakend en door zelfstandig functionerende onderdelen geleverd (‘seperation of concerns’). *Zelfstandig werkende functionele componenten zijn beschreven in een dienstencatalogus. *Bij samenwerking zijn voor alle partijen heldere dienstverleningsovereenkomsten aanwezig. *In de dienstverlening aan burgers en bedrijven maken we gebruik van specialistische functionaliteit zoals authenticatie en machtiging. Voorbeelden: Interactie-functies zoals portalen en apps bevatten uitsluitend presentatielogica en vragen elders aanwezige gegevens en functionaliteit op via diensten. Voor het opvragen van kerngegeven bieden we platformonafhankelijke gegevensdiensten.  +

Stelling: Open data is vrij beschikbare informatie. Open data is erop gericht om hergebruik maximaal te faciliteren. Rationale: *Openbaarheid van bestuur, samenwerking, klantgerichtheid, van buiten naar binnen denken. *De Open overheid staat voor het actief ontsluiten van overheidsinformatie voor inzage, hergebruik en correctie door de burger, voor het geven van inzicht in hoe de overheid werkt en voor participatie van de burger in overheidsprocessen. *Belangrijke onderdelen zijn: **Burgers en bedrijven inzage geven in de eigen persoons- en bedrijfsgebonden informatie. **Participatie van burgers in de uitvoerende processen en de beleid formulerende processen van de overheid. Implicaties: *Alle informatie is openbaar tenzij wettelijk anders is bepaald. Hierbij gelden onder andere de Wet openbaarheid bestuur (WOB) en de Algemene verordening Gegevensbescherming (AVG) als kader. *Alle relevante wet en regelgeving moet in kaart worden gebracht. *Er zijn richtlijnen nodig omtrent vertrouwelijkheid. *Er moet inspanning verricht worden om te voorkomen dat gegevens en informatie verkeerd geïnterpreteerd en gebruikt worden. *Publiceren van gemeten waterpeilen op de website. Voorbeelden: *Statusinformatie over een vergunningaanvraag beschikbaar stellen op een persoonlijke internetpagina.  +

Stelling: Het dagelijks functioneren van de informatievoorziening is door het waterschap geborgd. Rationale: *De informatievoorziening levert toegevoegde waarde in de uitvoering en ondersteuning van processen. Steeds meer processen zijn ervan afhankelijk dat de informatievoorziening continu levert conform de gestelde eisen. *Om ervoor te zorgen dat dit gebeurt, kan er maar één organisatie verantwoordelijk zijn voor beschikbaarheid en kwaliteit van de informatievoorziening, zodat gebruikers er altijd iemand op kunnen aanspreken en er adequaat kan worden gehandeld. Implicaties: *In de dagelijkse operatie is het in stand houden van de kwaliteit van de informatievoorziening organisatorisch geborgd door het bewaken van de kwaliteit en het ondernemen van correctieve acties expliciet organisatorisch te beleggen: **Bij de ontwikkeling van de informatievoorziening hoort ook het inrichten en bemensen van de beheerorganisatie. **Er vindt permanent toetsing plaats of alle operationele rollen rond de informatievoorziening zijn ingevuld. **Nieuwe ontwikkelingen kunnen alleen in gebruik worden genomen als de beheerorganisatie is ingericht. **Bij de ontwikkeling van de informatievoorziening worden steeds de vereisten vanuit de beheerorganisatie meegenomen. Voorbeelden: *Voor ieder component in de informatievoorziening worden de operationele rollen ingevuld. Denk hierbij aan rollen als: **applicatiebeheerder **systeembeheerder **IT procesmanager **service coördinator **gegevensanalist **functioneel beheerder **key user **eindgebruiker **gegevensbeheerder/data steward  +

Stelling: We voldoen aan de normen voor informatiebeveiliging en bedrijfscontinuïteit. Rationale: *De steeds grotere afhankelijkheid van informatiesystemen en informatiestromen leidt tot voelbare risico’s voor de continuïteit van de waterschapsdienstverlening. *Betrouwbare, beschikbare en correcte informatie is cruciaal voor de primaire processen en bedrijfsvoering van alle waterschappen. Implicaties: *De bescherming van informatie in werkprocessen voldoet minimaal aan de geldende baseline op het gebied van informatiebeveiliging en bedrijfscontinuïteit, zoals vastgelegd in de BIO (Baseline Informatiebeveiliging Overheid). *Maatregelen rond informatiebeveiliging en bedrijfscontinuïteit zijn proportioneel en gebaseerd op de risicoanalyse en -classificatie van beschikbaarheid, integriteit en vertrouwelijkheid. *Toegang tot de informatievoorziening is altijd en overal beveiligd conform de geldende norm. *Door risicoanalyse en - classificatie van de bedrijfsfuncties, ondersteunende middelen en informatie van het waterschap wordt het vereiste beschermingsniveau aangeduid in termen van beschikbaarheid, integriteit en vertrouwelijkheid. Dit beschermingsniveau kan de BIO ontstijgen wanneer extra beschermingsmaatregelen nodig zijn. *Er is een door het bestuur vastgesteld informatiebeveiligingsbeleid dat is gebaseerd op en voldoet aan de BIO - Baseline Informatiebeveiliging Overheid. *Er is een actueel informatiebeveiligingsplan en bedrijfscontinuïteitsplan. *Alle verantwoordelijkheden voor informatiebeveiliging behoren duidelijk te zijn gedefinieerd en belegd. *Het lijnmanagement is verantwoordelijk voor de kwaliteit van de bedrijfsvoering en daarmee verantwoordelijk voor de beveiliging van informatiesystemen. *De systeemeigenaar is verantwoordelijk voor beveiligingsclassificatie op proces-, systeem- en gegevensniveau en voor uitvoering van beschermingsmaatregelen om het vereiste niveau van informatiebeveiliging te realiseren, alsmede voor de documentatie van beveiligings-classificatie en –maatregelen. *Zowel bij het ontwerp en realisatie van een systeem-implementatie als bij gebruik van het informatiesysteem vinden tests plaats op de effectiviteit van de beveiligingsmaatregelen. *Werknemers, ingehuurd personeel en externe gebruikers begrijpen hun verantwoordelijkheden t.a.v. informatiebeveiliging en handelen daarnaar. *De Security Officer wordt door de systeemeigenaar geïnformeerd over de beveiligingsclassificatie, over de genomen beschermingsmaatregelen en over de effectiviteit van de informatiebeveiliging. *Beschermingsvereisten zijn van toepassing op alle ruimten van een waterschap, aanverwante gebouwen en beheerde objecten als kunstwerken, alsmede op apparatuur die door werknemers gebruikt wordt bij de uitoefening van hun taak op diverse locaties. *Beveiligingsvereisten voor informatiesystemen hebben betrekking op de informatie die daarbinnen verwerkt wordt. Ook als informatiesystemen niet fysiek binnen het waterschap draaien of taken zijn uitbesteed aan derden zijn deze beschermingsvereisten van toepassing. *Secure by design and by default, privacy by design and by default. Voorbeelden: *Wachtwoorden voor toegang tot applicaties en systemen zijn persoonlijk en worden niet aan anderen bekend gemaakt. *Er wordt regelmatig een back-up gemaakt en het terugzetten hiervan (recovery) wordt getest.  

Stelling: De inrichting van applicaties voldoet aan eisen voor duurzame toegankelijkheid van informatie. Rationale: *Overheden zijn hiertoe verplicht volgens de Archiefwet. *Informatie is het maatschappelijk kapitaal van de organisatie. Het beschikken over betrouwbare, beschikbare, vindbare en bruikbare informatie is van belang voor een goede bedrijfsvoering, democratische controle en cultuurhistorisch onderzoek. *Applicaties dienen daarom zodanig te zijn ingericht dat ze de juiste randvoorwaarden scheppen. Implicaties: *Om duurzame toegankelijkheid van informatie te realiseren en te borgen worden bij aanschaf en implementatie van applicaties de richtlijnen gevolgd die gelden voor een goede, geordende en toegankelijke staat van informatie (data én documenten). *De implicaties zijn uitgebreid beschreven in de richtlijn RODIN. De belangrijkste punten: **Informatieobjecten zijn gekoppeld aan een ordeningsstructuur die is aan te passen zonder de al aanwezige structuur met zijn koppelingen te verstoren. **Ieder afzonderlijk informatieobject heeft een uniek identificatiekenmerk (GUID). **Informatieobjecten bevatten de voor het beheer benodigde kenmerken, die zijn ontleend aan een vastgesteld metadataschema. **De betrouwbaarheid van informatieobjecten is aantoonbaar en gewaarborgd. **Informatieobjecten zijn op grond van de geldende selectielijst van een bewaartermijn voorzien en worden na het verstrijken daarvan vernietigd. **De applicatie-eigenaar en proceseigenaar zijn samen verantwoordelijk voor een juiste toepassing van deze archieffunctionaliteiten. Voorbeelden: *Veel gebruikte decentrale ordeningsstructuren zijn: **Basisarchiefcode **Zaaktypecatalogus *Informatieobjecten zijn altijd te herleiden tot de werkprocessen waarin ze zijn gevormd of worden gebruikt. *Informatieobjecten zijn altijd terug te vinden op grond van gekoppelde metagegevens.  +

Stelling: Ieder product en dienst levert een bijdrage aan het realiseren van de strategische doelstellingen. Rationale: *Optimale producten- en dienstenmix om je doelstellingen te realiseren. *Effectieve inzet van mensen en middelen ten behoeve van doelbereik. *Betrokken en gemotiveerde medewerkers omdat ze weten dat de producten en diensten waaraan ze werken bijdragen aan de doelstellingen. *Focus op de doelstellingen bij ‘de dingen die we doen’. Implicaties: *Duidelijkheid over de samenstelling van producten en diensten *Afwegingskader voor waarde in relatie tot doelstellingen *Bij verandering van doelstellingen wordt de impact op de producten en diensten bepaald  +

Stelling: Iedere medewerker heeft een veilige werkplek en een veilige werkomgeving (fysiek, sociaal en digitaal). Rationale: *Voldoen aan wet- en regelgeving. *Prettige werksfeer. *Onveilige situaties kunnen grote (financiële) consequenties hebben. Implicaties: *Van iedere medewerker wordt verwacht dat hij veilig werkt en de veiligheid van zichzelf, anderen en de omgeving niet in gevaar brengt. *We spreken elkaar aan op onveilig gedrag en maken melding van onveilige situaties. Zo kan iedereen rondom water veilig wonen, werken en genieten. *Bewustwording m.b.t. veiligheid *Procedures hoe te handelen bij onveilige situaties Voorbeelden: *Digitaal meldpunt voor onveilige situaties en (bijna) ongevallen, bijv. d.m.v. een rode knop op intranet. *Training voor afbreken en opbouwen rolsteigers.  +

Stelling: De beschikbaarheid van de dienst voldoet aan de met de afnemer gemaakte continuïteitsafspraken. Rationale: De continuïteitsafspraken zijn gemaakt op basis van de afbreukrisico's die afnemers lopen bij uitval. De processen van afnemers kunnen spaak lopen met financiële en maatschappelijke schade en het vertrouwen in betrouwbaarheid van de dienst kan afnemen. Implicaties: *De beschikbaarheid van gegevens en systeemfuncties wordt gegarandeerd door vermeervoudiging van systeemfuncties, door herstelbaarheid en beheersing van verwerkingen, door voorspelling van discontinuïteit en handhaving van functionaliteit. *Specifiek: **Het niveau van beschikbaarheid is in overleg met de afnemers vastgesteld **ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid **De continuïteit van voorzieningen wordt bewaakt, bij bedreiging van de continuïteit wordt alarm geslagen en er is voorzien in een calamiteitenplan. **De toegankelijkheid van openbare informatie en informatie die die relevant is voor vertrouwelijke- en zaakgerelateerde diensten, is gewaarborgd. Wanneer informatie verplaatst is, of niet meer (online) beschikbaar, worden bezoekers doorverwezen naar de plaats waar deze wel te vinden is. **De afnemer merkt niets van wijzigingen in het beheer van de dienst. **Wanneer een nieuwe versie van een standaard geïmplementeerd wordt, blijft de aanbieder de oude versie ondersteunen zolang als dat volgens afspraak nodig is. *De dienstverlener en de afnemers maken afspraken over de periode waarin overgegaan wordt op een nieuwe versie van de standaard.  +

Stelling: De dienstverlener verschaft alleen geautoriseerde afnemers toegang tot vertrouwelijke gegevens. Rationale: De gebruiker moet erop kunnen vertrouwen dat gegevens niet worden misbruikt. Implicaties: *De vertrouwelijkheid van gegevens wordt gegarandeerd door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling, door validatie op toegang tot gegevens en systeemfuncties en door versleuteling van gegevens. *Fysieke en logische toegang: **Per dienst zijn de mate van vertrouwelijkheid en de bijbehorende identificatie-eisen vastgesteld **Voor een intern systeem, besloten gebouw of ruimte, geldt: “niets mag, tenzij toegestaan”. Daarom wordt de gebruiker voor toegangsverlening geauthenticeerd. Voor afnemers van vertrouwelijke diensten geldt hetzelfde. Daardoor zijn deze gebruikers en afnemers uniek herleidbaar tot één natuurlijk persoon, organisatie of ICT-voorziening. **Bij authenticatie dwingt het systeem toepassing van sterke wachtwoordconventies af. **De instellingen van het aanmeldproces voorkomen dat een gebruiker werkt onder een andere dan de eigen identiteit. **Om de mogelijkheden van misbruik te beperken, hebben gebruikers van systemen niet méér rechten dan zij voor hun werk nodig hebben (autorisatie). Daarbij zijn maatregelen getroffen om een onbedoeld gebruik van autorisaties te voorkomen. **Verleende toegangsrechten zijn inzichtelijk en beheersbaar. **De identificatie.-eis voor een samengestelde dienst wordt bepaald door de dienst met de hoogste identificatie -eis. *Zonering en Filtering: **De zonering en de daarbij geldende uitgangspunten en eisen per zone zijn vastgesteld. **De fysieke en technische infrastructuur is opgedeeld in zones. **Deze zones zijn voorzien van de benodigde vormen van beveiliging (de 'filters'). **Informatie-betekenisvolle gegevens.-uitwisseling en bewegingen van mensen tussen zones wordt naar vorm en inhoud gecontroleerd en zo nodig geblokkeerd.  +

Stelling: De dienstverlener waarborgt de integriteit van gegevens en systeemfuncties. Rationale: De gebruiker van een gegeven moet erop kunnen vertrouwen dat hij het correcte, complete en actuele gegeven ontvangt. Implicaties: *De integriteit van gegevens en systeemfuncties wordt gegarandeerd door validatie en beheersing van gegevensverwerking en geautoriseerde toegang tot gegevens en systeemfuncties, door scheiding van systeemfuncties, door controle op communicatiegedrag en gegevensuitwisseling en door beperking van functionaliteit. *Controle van gegevensverwerking: **De criteria voor juistheid, en tijdigheid zijn vastgesteld **controleren vanuit een systeemvreemde omgeving ingevoerde gegevens op juistheid, tijdigheid en volledigheid, voordat verdere verwerking plaatsvindt. **controleren te versturen gegevens op juistheid, volledigheid en tijdigheid **controleren ter verwerking aangeboden gegevens op juiste, volledig en tijdige verwerking **vergelijken periodiek kritieke gegevens die in verschillende gegevensverzamelingen voorkomen met elkaar op consistentie. Dit geldt alleen zolang als de gegevens niet frequent en integraal worden gesynchroniseerd met de brongegevens.  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

WIA-Proces  +

Een formele procedure voor het verwerven van middelen waarbij leveranciers om offertes worden gevraagd.  +

Met de relatie worden de voor een referentiecomponent verplichte of aanbevolen standaarden aangewezen.  +

Dit bedrijfsproces betreft het voor afnemers geschikt maken en aanleveren van door de eigen organisatie beheerde data, in ruwe vorm of geaggregeerd tot informatieproducten, aan afnemers.  +

Het indienen van een verzoek tot een kopie van beschikking waarbij de verschuldigde rijks- of decentrale belasting is vastgesteld.  +

Het indienen van een verzoek tot latere betaling van de verschuldigde belasting.  +

Het indienen van een verzoek tot vergunning als bedoeld in de artikelen 6.2, 6.3, 6.4, 6.5, 6.13, 6.18 of 6.19 van de Waterwet.  +

Component waarmee gecontroleerd kan worden wie, wanneer toegang krijgt tot locaties, gebouwen en ruimtes.  +

De rapportage wordt geaccodeerd door de toezichthouder inclusief het veiligheidsoordeel.  +