Upload
kvandagen
View
351
Download
0
Embed Size (px)
DESCRIPTION
Bart Ballaux, Jermaine Dol, Jeroen van Oss - Één risicoclassificatie voor informatie: het Rotterdamse model
Citation preview
13-6-2012
Één risicoclassificatie voor informatie Het rotterdamse model
Bart Ballaux
Jermaine Dol
Jeroen van Oss
13-6-20122
Opzet van de workshop
1. Presentatie van het risicomodel (Jeroen)
2. Workshop: test van het risicomodel met een
proceseigenaar (Bart en Jermaine)
3. Discussie:
a. Zijn de vragen duidelijk, ook voor proceseigenaren?
b. Leveren zij bruikbare kwaliteitsindicatoren op?
c. Is risicoclassificatie in informatiebeheer op deze manier
zinvol, werkbaar, verantwoord?
13-6-20123
Gewetensvraag: mag het een onsje minder?
Kwaliteit informatiebeheer bij de overheid:
a. Moet altijd op hetzelfde (wettelijke) niveau zijn
b. Mag variabel zijn, afhankelijk van de eisen van de business
13-6-20124
Risicodenken in informatiebeheer wint steeds meer veld
Baseline informatiehuishouding
gemeenten, norm 3:
“Er zijn binnen de gemeente of bestuursorgaan
risicoklassen voor informatie gedefinieerd, met voor
iedere klasse het vereiste beheerregime ten
behoeve van duurzame toegankelijkheid en
betrouwbaarheid van informatie”
13-6-20125
Uitgangspunten rotterdams risicomodel informatiebeheer
Voldoen aan de kwaliteitseisen van de ‘business’ en de
maatschappij
Tegen zo laag mogelijke beheerlasten
Integratie informatiebeheer in ieder proces
Proceseigenaar is verantwoordelijk
Risicomodel is concernkader
Onderdeel van de rotterdamse
informatiearchitectuur
Verplichte toepassing bij iedere
(her)inrichting van een proces
13-6-20126
Aansluiting bij risicoclassificatie informatiebeveiliging
Rotterdamse standaard, gebaseerd op kwaliteitsnormen:
Beschikbaarheid (=continuïteit van de ICT-diensten)
Integriteit (=bescherming tegen onbevoegde mutatie/wissen)
Vertrouwelijkheid (=bescherming tegen onbevoegde raadpleging)
13-6-20127
Goed te matchen met kwaliteitsnormen informatiebeheer
IntegerAuthentiek
Interpreteer-baar
Vindbaar
Raadpleegbaar
Integer
Vertrouwelijk
Informatiebeveiliging
Records management (NEN ISO 15489)
Beschikbaar
13-6-20128
Streven in Rotterdam: één risicoclassificatie voor informatie
Invalshoeken:
Informatiebeveiliging
Open dataRecords management
13-6-20129
Onderdeel van de governance concernarchitectuur
13-6-201210
Opzet van het rotterdams risicomodel informatiebeheer
1. Vragen risicomodel invullen per overheidsproces
4. Passend informatiebeheerregime
3. Risicoklasse I-IV
2. Vereist kwaliteitsniveau per norm
13-6-201211
1. Opbouw vragenlijst risicomodel
1. Proceswaardering
Classificatie van proces
Types processen
2. Procescontext
Wet‐ en regelgeving
Algemeen & specifiek
3. Procesverloop
Spelers & rollen – gebruikers
4. Procesinformatie
Document‐ & workflow
Types & stadia
5. Uitkomst
Risicoklasse
Stap 1: identificatie van proces (op basis van eigenschappen/
eisen van proces)
Stap 2: identificatie van regels: eisen aan proces &
informatie
Stap 3: identificatie van spelers: eisen aan proces & gebruik van
informatie
Stap 4: identificatie van informatiestromen: eisen aan
gebruik van informatie
Stap 5: combinatie van eisen van vorige vier stappen: voorstel i.v.m. beheer van proces
& informatie
13-6-201212
2. Kwaliteitsnormen en -niveau’s
Authenticiteit en integriteit1. Niet zeker2. Beschermd3. Hoog4. Absoluut
Vindbaarheid1. Mogelijk niet vindbaar2. Vrijwel zeker vindbaar3. Absoluut vindbaar
Raadpleegbaarheid1. Voor korte termijn (< 1 jaar)2. Voor middellange termijn (1 - 7 jaar)3. Voor lange termijn (> 7 jaar)
Interpreteerbaarheid1. Voor direct betrokkenen2. Voor bredere kring binnen de organisatie3. Voor belanghebbenden buiten de organisatie en door de tijd heen4. Voor raadplegers op grote afstand en tijd
13-6-201213
3. Risicoklasse, voorbeeld uitkomst
Authenticiteit/ integriteit
Vindbaarheid Raadpleeg-baarheid
Interpreteer-baarheid
Risicoklasse
17pt=IV 19pt=IV 19pt=IV 14pt=IV IV
13-6-201214
4. Typen beheermaatregelen
Metadata
(basis: Richtlijn
Metagegevens Overheid)
Functionaliteit in applicaties
(basis: NEN 2082)
Inrichting beheerprocessen
(basis: NEN-ISO 15489)
13-6-201215
Nu is het woord aan jullie!
Doorlopen van de vragenlijst met een ‘proceseigenaar’
Jullie kunnen met groene en rode kaarten aangeven of:
de vraag zinvol en duidelijk is
Je het eens bent met het antwoord
Discussie op basis van de groene en rode kaarten