Normenkaders en begrippen rond Informatiebeveiliging

Welkom op deze pagina! U treft hier een overzicht van (meestal Nederlandse) organisaties, normen en bijbehorende begrippen. Deze pagina heeft als doel inzicht te geven en informatie te delen met vermelding van de bron van de informatie. Indien er op deze pagina informatie incorrect is, of als er een betere bron beschikbaar is, dan horen wij dat graag van u. U kunt reageren via de emailknop bovenaan deze pagina.

Het aantal begrippen en normen op deze pagina zal naar verloop van tijd groeien. Als eerste hebben we begrippen en normen opgenomen die een relatie hebben tot Nederlandse Gemeenten en Overheden. Bij het maken van deze pagina nam de inhoud al snel toe omdat relevante begrippen de kern vormen van de uitleg van andere begrippen en normen.

Wat is een norm?
Bron: Wikipedia

Een norm of standaard is een document met erkende afspraken, specificaties of criteria over een product, een dienst of een methode. Standaarden kunnen vastgelegd worden binnen een bedrijf of organisatie, binnen een consortium van organisaties of door erkende standaardisatieorganisaties. Erkende standaardisatieorganisaties (zowel nationale als internationale) werken volgens een bepaald proces en volgens bepaalde regels voor vertegenwoordiging:

  • in nationale standaardisatieorganisaties zoals NBN (België) en NEN (Nederland) moeten dit personen of organisaties zijn die in het land gevestigd zijn en belang hebben bij het onderwerp van de standaard;[1][2]
  • in sommige Europese en internationale standaardisatieorganisaties, zoals CEN en ISO, kan enkel de meest representatieve standaardisatieorganisatie van een land volwaardig lid zijn;[3]
  • in sommige andere Europese en internationale standaardisatieorganisaties, zoals ETSI en ITU, kunnen ook bedrijven normaal lid worden.[4]
  • Het standaardisatieproces volgt bepaalde regels.[5][6]

  • AP   ‐   Autoriteit Persoonsgegevens

    De Autoriteit Persoonsgegevens staat voor het grondrecht op bescherming van persoonsgegevens. Iedereen heeft recht op een zorgvuldige omgang met zijn persoonsgegevens. De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en adviseert over nieuwe regelgeving.

  • Archiefwet   ‐   Archiefwet

    Overheidsorganisaties moeten voldoen aan een aantal wettelijke verplichtingen ten aanzien van hun archiefvorming en -beheer. Ook digitale informatie valt onder de werking van deze regels. Een aantal onderdelen van de Archiefwet is nader uitgewerkt in het Archiefbesluit. Het Archiefbesluit is de voornaamste uitvoeringsregeling van de Archiefwet. Verschillende artikelen uit het Archiefbesluit zijn weer verder uitgewerkt in ministeriële regelingen.

  • AVG   ‐   Europese Algemene Verordening GegevensBescherming

    De Europese privacy verordening algemene verordening gegevensbescherming (AVG) gaat over de 'bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens'. Deze verordening vervangt de databeschermingsrichtlijn uit 1995. Die sloot niet meer aan op de huidige digitale wereld. De AVG is in mei 2016 in werking getreden. Van organisaties wordt verwacht dat zij vanaf die tijd hun bedrijfsvoering met de AVG in overeenstemming brengen. Zij krijgen daarvoor tot 25 mei 2018 de tijd. Daarna mag iedereen organisaties op de naleving van de AVG aanspreken. De maximale boete is 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet in het geval van een onderneming, afhankelijk van welk bedrag hoger is. Opsporingsinstanties en het OM zijn van de AVG vrijgesteld, omdat zij onder aparte privacywetgeving vallen. Het EU-VS-privacy schild is een overeenkomst over de bescherming van persoonsgegevens van EU-burgers die in de VS worden verwerkt.

  • BAG   ‐   wet Basisregistraties Adressen en Gebouwen

    De BAG (Basisregistraties Adressen en Gebouwen) bevat gemeentelijke basisgegevens van alle adressen en gebouwen in een gemeente. Kopieën van al deze gegevens zijn verzameld in een Landelijke Voorziening ( BAG LV). Het Kadaster beheert de BAG LV en stelt de gegevens beschikbaar aan organisaties met een publieke taak, instellingen, bedrijven en particulieren. De Minister van Infrastructuur en Milieu is verantwoordelijk voor de BAG.

  • Basisregistraties   ‐   Basisregistraties

    Het Nederlandse kabinet heeft een aantal registraties aangewezen, waarvan de Nederlandse overheid meent dat daarin met een gerust hart alle vitale gegevens over burgers, bedrijven en instellingen gecentraliseerd kunnen worden opgeslagen. De verantwoordelijken voor het stelsel gaan ervan uit dat deze zogeheten "authentieke gegevens" een dermate hoge kwaliteit zullen hebben, dat de overheid deze gegevens zonder enig verder onderzoek in haar werk zal kunnen gebruiken. Een van de meest belangrijke concepten achter dit idee is de verplichte terugmelding. Op het moment dat een afnemer van gegevens uit een basisregistratie twijfelt aan de betrouwbaarheid van de gegevens mag er van worden afgeweken mits deze twijfel, over de betrouwbaarheid van de gegevens, is teruggemeld aan de bronhouder van de gegevens. De gegevens krijgen een aantekening en de bronhouder zal vervolgens een onderzoek instellen. Op deze manier wordt er een zelfreinigend systeem gecreëerd.

  • BCP   ‐   BedrijfsContinuïteitsPlan

    Een bedrijfscontinuïteitsplan (BCP) is een set van documenten die preventief wordt uitgewerkt om in geval van ramp een organisatie toe te laten zijn kritieke diensten te blijven leveren op een vooraf bepaald aanvaardbaar niveau binnen een bepaalde tijd. Het is een belangrijk onderdeel in het Business Continuity Management van een organisatie.

  • BGT   ‐   wet Basisregistratie Grootschalige Topografie

    De BGT is een digitale basiskaart, opgebouwd uit objecten als wegen, water, groen en spoor die in veel werkprocessen van de overheid nodig zijn. De standaarden die bronhouders gebruiken om deze kaart te maken zijn beschreven in het informatiemodel geografie (IMGeo). Geonovum beheert het IMGeo. (Dit alles gebaseerd op de wet BGT (http://wetten.overheid.nl/BWBR0034026/2016-01-01))

  • BIA   ‐   Business impact analyse

    Een Business impact analyse (BIA) wordt in het kader van het Business continuity management binnen een organisatie gebruikt om de kritieke processen van de niet kritieke processen te scheiden. Door de ICT systemen, gebouwen, medewerkers, externe partijen, enz. die noodzakelijk zijn voor het uitvoeren van deze kritieke processen te bepalen, kan men ook de kritieke middelen bekomen. Een BIA is een eerste stap in het proces van het opmaken van een bedrijfscontinuïteitsplan (BCP). Het zorgt voor de belangrijkste elementen waar men zich op moet focussen bij de uitwerking van een BCP.

  • BIG   ‐   Baseline Informatiebeveiliging Nederlandse Gemeenten

    Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) en het Voorschrift Informatiebeveiliging rijksoverheid (VIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. De BIG betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de website van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie ‘in control’ is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD producten ontwikkeld op operationeel niveau.

  • BIO   ‐   Baseline Informatiebeveiliging Overheid

    Er wordt op dit moment gewerkt aan een Baseline Informatiebeveiliging Overheid, als vervanging van de bestaande BIR (Baseline Informatiebeveiliging Rijksdienst), BIG (Baseline Informatiebeveiliging Gemeenten), BIWA en de Interprovinciale Baseline Informatiebeveiliging. Zie verder BIR, BIG en BIWA.

  • BIR   ‐   Baseline Informatiebeveiliging Rijksdienst

    De Baseline informatiebeveiliging 2012 biedt een tactisch normenkader (TNK) voor de beveiliging van de informatiehuishouding van het Rijk. Dit maakt het mogelijk om veilig samen te werken en onderling gegevens uit te wisselen. De BIR:2012 zorgt voor één heldere set afspraken zodat een bedrijfsonderdeel weet dat de gegevens die verstuurd worden naar een ander onderdeel van de rijksdienst op het juiste beveiligingsniveau (vertrouwelijkheid, integriteit en beschikbaarheid) worden behandeld.

  • BIV   ‐   Beschikbaarheid, Integriteit, Vertrouwelijkheid

    Een BIV-classificatie of BIV-indeling is een indeling die binnen de informatiebeveiliging wordt gehanteerd, waarbij de beschikbaarheid en continuïteit, de integriteit en betrouwbaarheid en de vertrouwelijkheid en exclusiviteit van informatie en systemen wordt aangegeven. BIV is het acroniem voor Beschikbaarheid, Integriteit, Vertrouwelijkheid.

  • BIWA   ‐   Baseline Informatiebeveiliging WAterschappen

    De baseline bevat maatregelen die algemeen voorkomende informatiebeveiligingsrisico’s bij de Waterschappen afdekken. De baseline bevat een aantal minimale beveiligingsniveaus waaraan een waterschap zou moeten willen voldoen, maar is in deze versie nog niet volledig. Voor risico’s die niet door de baseline zijn afgedekt stelt het management van het waterschap aanvullende maatregelen vast.

  • BRP   ‐   wet Basis Registratie Personen

    De Basisregistratie Personen (BRP) is de basisregistratie voor natuurlijke personen in Nederland, ingezetenen en niet-ingezetenen, en vervangt sinds 6 januari 2014 de Gemeentelijke Basisadministratie Personen (GBA). In de BRP staan naast de persoonsgegevens van inwoners(ingezetenen) in Nederland ook de persoonsgegevens van niet-ingezetenen (Registratie Niet Ingezetenen, RNI). De decentrale registratie door gemeenten blijft, maar de decentrale opslag van GBA-gegevens gaat over in een centrale opslag van de BRP-gegevens. Het beheer is in handen van de Rijksdienst voor Identiteitsgegevens (RvIG). De infrastructuur van het BRP staat onder verantwoordelijkheid van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK). (Dit alles volgens de wet BPR (http://wetten.overheid.nl/BWBR0033715/2015-09-01))

  • CBP   ‐   College Bescherming Persoonsgegevens

    De Autoriteit Persoonsgegevens heette tot 2016 het College bescherming persoonsgegevens (Cbp). Dit college volgde in 2001 de Registratiekamer op. Met de naamswijziging per 1 januari 2016 kreeg het orgaan onder meer de bevoegdheid om boetes op te leggen bij overtredingen van de Wet bescherming persoonsgegevens (Wbp). Deze wijzigingen waren een gevolg van ingrijpende aanpassingen in die wet.

  • CERT   ‐   Computer Emergency Response Teams

    Een Computer Emergency Response Team is een gespecialiseerd team van ICT-professionals, dat in staat is snel te handelen in het geval van een beveiligingsincident met computers of netwerken. Het doel is om schade te reduceren en snel herstel van de dienstverlening te bevorderen. Naast reactie op incidenten richt een CERT zich ook op preventie en preparatie.

  • CIO   ‐   Chief Information Officer

    Chief Information Officer (CIO) is een functie die vaak gegeven wordt aan de persoon in een onderneming die verantwoordelijk is voor de informatietechnologie en computersystemen. Informatietechnologie en computersystemen zijn steeds belangrijker geworden. Daardoor heeft de CIO een steeds belangrijker rol binnen de organisatie bij het formuleren van strategische doelen

  • CIP   ‐   Centrum voor Informatiebeveiliging en Privacybescherming 

    CIP is het expertisecentrum voor informatiebeveiliging en privacybescherming van, voor en door overheidsorganisaties. Het heeft zich ontwikkeld tot een publiekprivate netwerkorganisatie, waarin ook deskundige marktorganisaties als kennispartners deelnemen. Het CIP is opgericht door vier grote uitvoeringsorganisaties: Belastingdienst, DUO, SVB en UWV. Inmiddels bestaat het CIP-netwerk uit een groot aantal overheidsorganisaties en Kennispartners. Kennis die in deze organisaties aanwezig is op het vlak van informatiebeveiliging en privacybescherming wordt binnen de samenwerking in het CIP gedeeld en toegankelijk gemaakt. Op deze manier leren de aangesloten organisaties van elkaars oplossingen en werkwijzen en kunnen, samen komen tot afspraken daaromtrent. Dit alles in het belang van de informatieveiligheid van de overheidsdienstverlening. Door binnen de overheid meer samen te gaan doen, draagt het CIP ook bij aan het optimaal gebruik van overheidsmiddelen

  • CISO   ‐   Chief Information Security Officer

    Een Chief Information Security Officer (CISO) is, als senior-level executive binnen een organisatie, verantwoordelijk voor het opzetten en onderhouden van de visie, strategie omtrent informatie en technologieën en draagt de zorg voor voldoende bescherming. De CISO stuurt personeel bij het identificeren, ontwikkelen, implementeren en onderhouden van processen in de gehele onderneming om informatie en informatietechnologie (IT) risico's te verminderen. Een CISO reageert op incidenten, past normen en controls toe, neemt maatregelen, beheert beveiligingstechnologieën en stelt beleid en procedures op en implementeert deze. De CISO is meestal ook verantwoordelijk voor compliance m.b.t. informatiebeveiliging.

  • CISSP   ‐   Certified Information Systems Security Professional

    CISSP staat voor Certified Information Systems Security Professional. Eenieder die zich zo mag noemen heeft de volgende staat van dienst: ten minste vijf jaar werkervaring in minimaal twee van de CISSP-domeinen behorende tot de 'Common Body of Knowledge (CBK)', de leerstof (indien men in het bezit is van een getuigschrift op minimaal HBO/Bachelor-niveau dan geldt een werkervaringseis van 4 jaar), confirmering aan de ethische code van (ISC), de ontwerper van de lesstof en de certificering. De onderdelen en kennisgebieden die een CISSP beheerst zijn de volgende: toegangscontrole Telecommunicatie- en netwerkbeveiliging, Informatiebeveiliging, Risico Management, Applicatiebeveiliging, Versleuteling, Beveiligingsarchitectuur en -ontwerp, Operationele beveiliging, Voortgangsplanning en planning van calamiteitenbestrijding wetgeving, regelingen, compliantie en onderzoek fysieke (omgevings)beveiliging. De opleiding tot CISSP maakt vooral opgang bij grote bedrijven en wordt steeds meer de 'MCSE van informatiebeveiliging', een algemeen gevraagd en benodigd diploma voor medewerkers die zich bezighouden met beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van informatie.

  • CMDB   ‐   Configuration Management DataBase

    Een configuration management database (CMDB) is een opslagplaats van informatie met betrekking tot alle componenten binnen een netwerk. Een CMDB bevat de gegevens van alle Configuratie items (CI) in de infrastructuur van een bedrijf of organisatie. De term CMDB komt voort uit ITIL. Binnen het ITIL kader is een CMDB de toegestane configuratie van de belangrijkste IT componenten binnen de IT omgeving. De CMDB is een fundamenteel onderdeel van het Configuratie Management proces binnen ITIL. Een CMDB helpt een organisatie inzicht te krijgen in de relaties tussen de verschillende componenten binnen haar IT omgeving. Daarnaast kan de configuratie van een enkel component gevolgd worden.

  • COBIT   ‐   Control Objectives for Information and related Technology

    Control Objectives for Information and related Technology (COBIT) is een framework voor het gestructureerd inrichten en beoordelen van een IT-beheeromgeving. CobiT is vanaf 1992 ontwikkeld door het Information Systems Audit and Control Association (ISACA) en het IT Governance Institute (ITGI). COBIT stelt IT managers in staat om op basis van algemeen geaccepteerde Best Practices de ICT beheersmaatregelen in te richten. Daarnaast kunnen auditors op basis van het framework hun controleprogramma beschrijven en uitvoeren. COBIT staat momenteel vooral in de vernieuwde belangstelling doordat de huidige versie bij uitstek geschikt is om een organisatie in staat te stellen aan te tonen te voldoen aan de regelgeving zoals die door Sarbanes-Oxley (SOX) en COSO (Committee of Sponsoring Organizations of the Treadway Commission) worden gevraagd.

  • CSIRT   ‐   Computer Security Incident Response Team

    CERT is het acroniem dat het Software Engineering Institute van de Carnegie Mellon University in Pittsburg gaf aan het eerste Computer Emergency Response Team dat werd opgericht (bekend als CERT/CC). Omdat Carnegie Mellon University de naam CERT beschermt worden andere incident response teams ook wel aangeduid met CSIRT of wordt het acroniem gebruikt voor Computer Emergency Readiness Team. In essentie hebben ze dezelfde functie: incidenten voorkomen en handelen als er zich toch een incident voordoet.

  • DigiD   ‐   DIGitale IDentiteit

    DigiD (uitgesproken als die-gie-dee) is de naam van een systeem waarmee Nederlandse overheden op internet iemands identiteit kunnen verifiëren, een soort digitaal paspoort voor overheidsinstanties. DigiD is een afkorting van Digitale Identiteit. DigiD is in 2003 gelanceerd onder de naam Nieuwe Authenticatie Voorziening en werd ook wel Burgerpin genoemd. Op 5 oktober 2004 werd de naam gewijzigd in DigiD. Vanaf 1 januari 2005 konden alle burgers van Nederland zich bij overheidsorganisaties identificeren via internet en konden alle overheidsinstellingen in Nederland zich gaan aansluiten op DigiD.

  • DPIA   ‐   Data protection impact assessment 

    Per 25 mei 2018 geldt de Algemene verordening gegevensbescherming (AVG). Vanaf dit moment kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. In de Nederlandse vertaling van de AVG wordt de term data protection impact assessment (DPIA) gegevensbeschermingseffectbeoordeling genoemd.

  • DUTO   ‐   Duurzaam Toegankelijke Overheidsinformatie

    DUTO is een standaard programma van kwaliteitseisen voor de duurzame toegankelijkheid van overheidsinformatie. De eisen gaan over de inhoud van de overheidsinformatie en de functionaliteit om toegang te krijgen tot overheidsinformatie. Met de DUTO-eisen kunnen overheidsorganen bepalen welke maatregelen ze moeten nemen om de digitale informatie die ze ontvangen en creëren, duurzaam toegankelijk te maken. DUTO is bedoeld voor alle informatieprofessionals die betrokken zijn bij het (her)inrichten van werkprocessen en de daarbij gebruikte applicaties.

  • eID   ‐   electronische Identiteit

    Overheid en bedrijven bieden hun diensten in hoog tempo digitaal aan. Hierbij wordt het steeds belangrijker dat de identiteit van de burger, consument of ondernemer ook in de digitale wereld betrouwbaar kan worden vastgesteld. Het eID Stelsel wordt de standaard voor inloggen bij online dienstverlening. Burgers, consumenten en ondernemers kunnen dan uit meerdere hoogwaardige inlogmiddelen zelf het middel kiezen waarmee ze bij een organisatie willen inloggen. Zij zijn daardoor niet afhankelijkheid van één elektronisch identificatiemiddel; bijvoorbeeld bij uitval of storingen zijn andere opties van inloggen mogelijk. Vanaf 30 juni 2015 heeft het systeem de naam Idensys gekregen.

  • ENSIA   ‐   Eenduidige Normatiek en Single Informatie Audit

    ENSIA heeft tot doel het verantwoordingsproces over informatieveiligheid bij gemeenten verder te professionaliseren door het toezicht te bundelen en aan te sluiten op de gemeentelijke Planning & Control-cyclus. Hierdoor heeft het gemeentebestuur meer overzicht over de stand van zaken van de informatieveiligheid en kan het hier ook beter op sturen.

  • FISMA   ‐   Federal Information Security Management Act

    De Federal Information Security Management Act van 2002 is een federale wet van de Verenigde Staten. De wet erkent de belangrijkheid van informatiebeveiliging voor de economische en nationale beveiligingsbelangen van de Verenigde Staten. De wet verplicht elk federaal bureau om een bureau breed informatiebeveiligingsplan te ontwikkelen, documenteren en implementeren voor de informatie en informatiesystemen die het bureau ondersteunen.

  • GAP analyse   ‐   GAP analyse

    Tijdens een GAP analyse wordt de huidige situatie vergeleken met de gewenste situatie. Hieruit kan men het verschil, of de kloof (Engels gap) vaststellen. Door de analyse vaker uit te voeren kan men de verbeteringen meten.

  • GBA   ‐   Gemeentelijke BasisAdministratie

    De Gemeentelijke basisadministratie persoonsgegevens (GBA) is in Nederland de benaming voor de boekhouding van bepaalde gegevens die iedere Nederlandse gemeente bijhoudt omtrent alle personen die in de gemeente gevestigd zijn of waren. Tot 1994 heette deze administratie het bevolkingsregister en van 2012 tot 2016 wordt de Gemeentelijke basisadministratie vervangen door de Basisregistratie Personen (BRP). Het is een van de elf officiële basisregistraties. Zie verder BRP.

  • GEMMA   ‐   GEMeentelijke Model Architectuur

    GEMMA staat voor de GEMeentelijke Model Architectuur. Dit is de landelijke referentiearchitectuur voor gemeenten. GEMMA helpt gemeenten om (ICT-)ontwikkelingen in samenhang aan te sturen. Ontwikkelen, bouwen, aanschaffen en implementeren onder architectuur zorgt ervoor dat de oplossingen onderling goed samenwerken. Ook ontstaat er een overzicht dat bestuur en management helpt alle ontwikkelingen in samenhang aan te sturen. Met GEMMA, de Gemeentelijke Model Architectuur, krijgt u inzicht in en grip op de informatievoorziening. GEMMA helpt om samenwerken tussen gemeenten, met ketenpartners en aansluiten op landelijke voorzieningen mogelijk te maken. GEMMA is afgeleid van de Nederlandse Overheid Referentie Architectuur (NORA). Samen met andere NORA-dochters als WILMA (waterschappen), PETRA (provincies) en EAR (Rijksoverheid) maakt GEMMA deel uit van de groeiende familie van overheids-referentiearchitecturen. Hiermee is een belangrijke basis gelegd voor interoperabiliteit tussen de verschillende overheden en landelijke voorzieningen.

  • GRC   ‐   Governance, Risk management en Compliance (GRC)

    Governance, Risk management en Compliance (GRC) zijn drie pijlers die samenwerken met het doel ervoor te zorgen dat een organisatie voldoet aan haar doelstellingen. Governance omvat processen, gewoontes, beleid, wetten en regels die van betekenis zijn voor de manier waarop mensen een organisatie sturen, besturen, beheren en controleren. Risk Management is het gestructureerd beheersen van de risico’s waaraan de organisatie bloot staat. Voor effectief Risk Management moet een bewustwording aanwezig zijn bij iedereen dat de organisatie allerlei risico’s loopt. Compliance is het naleven van de wet- en regelgeving die te maken heeft met de bevordering en handhaving van de integriteit en professionaliteit van een organisatie. Door de compliance goed op orde te hebben zijn risico’s te beheersen en eventueel daaruit vooruitvloeiende schade te voorkomen, dan wel te beperken. Hierdoor zijn organisaties beter in staat een betrouwbare bedrijfsvoering te realiseren en in stand te houden.

  • IB   ‐   InformatieBeveiliging

    Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.

  • IBD   ‐   InformatieBeveiligingsDienst

    De IBD is een gezamenlijk initiatief van de VNG en het KING. De IBD is de sectorale CERT / CSIRT voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het NCSC. De IBD beheert de BIG en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers. Alle Nederlandse gemeenten kunnen gebruik maken van de producten en de generieke dienstverlening van de IBD.

  • IBI   ‐   Interprovinciale Baseline Informatiebeveiliging

    Door de toenemende digitalisering is het zorgvuldig omgaan met de gegevens van burgers, bedrijven en partners ook voor provincies van groot belang. Daarom is er nu de Interprovinciale Baseline Informatiebeveiliging. De baseline is bedoeld om alle provincies op een vergelijkbare manier te laten werken met Informatiebeveiliging. Het geeft een standaard werkwijze waarmee per bedrijfsproces of per informatiesysteem bepaald wordt, welke beveiligingsmaatregelen getroffen moeten worden.

  • Idensys   ‐   Identiteit systeem

    Idensys is de nieuwe manier voor online identificatie in het burger- en consumentendomein. Burgers kunnen in de toekomst via Idensys voor het eerst op het hoogste niveau van betrouwbaarheid hun digitale identiteit aantonen. Dat maakt het mogelijk om diensten te digitaliseren waarvoor nu nog baliecontact nodig is. Private en publieke organisaties maken daarbij afspraken met elkaar over eisen die ze stellen aan veiligheid, betrouwbaarheid en bescherming van privacy. De overheid (Logius) zorgt voor het beheer van die afspraken en Agentschap Telecom is toezichthouder. 

  • ISM   ‐   Integrated Service Management

    ISM is een innovatief besturingsmechanisme dat de werkwijze van IT-beheer volledig organiseert. Het laat  IT-beheerders beter samenwerken, door middel van toegepaste standaard processen, managementaansturing en toolinrichting. Alle middelen die de IT-afdeling inzet - People, Process en Product - worden in samenhang ingericht en gemanaged. Vragen en verzoeken van klanten, maar ook projecten worden uniform afgehandeld. De afhandeling voldoet daardoor aan compliancy- en security-regels en escalaties en rapportages gebeuren altijd op dezelfde wijze. Door al het werk van de IT-afdeling op één compacte manier te organiseren ontstaat er rust en samenhang die ten goede komt aan de dienstverlening.

  • ISMS   ‐   Information Security Management System

    Een Information Security Management System (ISMS) is een integrale set van beheersmaatregelen die gaan over informatiebeveiliging of IT-gerelateerde risico's. Dit beperkt zich niet tot een (computer) systeem, maar omvat de gehele organisatie. Het basisprincipe achter een ISMS is dat een organisatie een samenhangend geheel van beleid, processen en systemen moet ontwerpen, implementeren en onderhouden, om daarmee de risico's voor informatie en activa te beheren.

  • ISO 27001   ‐   Managementsystemen voor informatiebeveiliging

    NEN-ISO/IEC 27002 specificeert eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System (ISMS) in het kader van de algemene bedrijfsrisico's voor de organisatie. De voorschriften zijn generiek en gelden voor elk type organisatie.

  • ISO 27002   ‐   Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging

    NEN-ISO/IEC 27002+C1+C2 geeft richtlijnen voor informatiebeveiligingsnormen voor organisaties en toepassingen inzake informatiebeveiligingsbeheer, waaronder de selectie, implementatie en het beheer van beheersmaatregelen die rekening houden met de omgeving(en) waarin de informatiebeveiligingsrisico’s van de organisatie gelden. Deze Internationale Norm is ontworpen om te worden gebruikt door organisaties die voornemens zijn om: a) beheersmaatregelen te selecteren binnen het implementatieproces van een managementsysteem voor informatiebeveiliging gebaseerd op ISO/IEC 27001; b) algemeen aanvaarde beheersmaatregelen inzake informatiebeveiliging te implementeren; c) hun eigen richtlijnen voor informatiebeveiligingsbeheer te ontwikkelen.

  • ITIL   ‐   Information Technology Infrastructure Library

    Information Technology Infrastructure Library, meestal afgekort tot ITIL, is ontwikkeld als een referentiekader voor het inrichten van de beheerprocessen binnen een ICT-organisatie. ITIL is geen methode of model, maar eerder een reeks van best practices (de beste praktijkoplossingen) en concepten. Het resultaat van procesimplementatie met behulp van ITIL is vergelijkbaar met de ISO 9000-regulering in de niet-ICT-branche, waarbij alle onderdelen van de organisatie zijn beschreven en in een bepaalde hiërarchie qua bevoegdheid/verantwoordelijkheid zijn gerangschikt.

  • KIDO   ‐   Kwaliteit Informatiebeheer Decentrale Overheden

    De handreiking geeft handvatten voor de beleidsontwikkeling, inrichting en uitvoering van informatiebeheer(processen). Het concept wordt in de praktijk op bruikbaarheid getoetst in de vorm van pilots. De handreiking ondersteunt gemeenten, provincies, waterschappen en gemeenschappelijke regelingen bij de opzet van een kwaliteitssysteem voor hun informatiebeheer, zoals bedoeld in artikel 16 van de Archiefregeling. KIDO is bedoeld voor informatiebeheerders bij de decentrale overheden (recordmanagers, informatiemanagers en archivarissen). Overheidsorganen kunnen KIDO gebruiken als: referentiekader voor de inrichting van het informatiebeheer, toetssteen om verbetermogelijkheden te identificeren, verbeteracties te bepalen, als hulpmiddel om prestatie-eisen en normen vast te stellen en gericht op het continu verbeteren van de kwaliteit van het informatiebeheer.

  • KING   ‐   KwaliteitsInstituut Nederlandse Gemeenten

    Het Kwaliteitsinstituut Nederlandse Gemeenten (KING) is in 2009 opgericht door de VNG, om de Nederlandse gemeenten te ondersteunen. De VNG en KING staan los van elkaar. De VNG heeft als taak belangenbehartiging, KING biedt ondersteuning bij vrijwel alle gebieden waaraan een gemeente behoefte kan hebben, zoals het doorvoeren van bezuinigingen, het opzetten van samenwerkingsverbanden met buurgemeenten, evaluatie en verbetering van het eigen functioneren, opzetten van elektronische dienstverlening enzovoorts.

  • MAPGOOD   ‐   Mensen, Apparatuur, Programmatuur, Gegevens, Omgeving, Organisatie en Diensten

    De inventarisatie van de componenten van een informatiesysteem wordt uitgevoerd aan de hand van de zogenaamde MAPGOOD-componenten, MAPGOOD staat voor: - Mens, de mensen die nodig zijn om het informatiesysteem te beheren en gebruiken - Apparatuur, de apparatuur die nodig is om het informatiesysteem te laten functioneren - Programmatuur, de programmatuur waaruit het informatiesysteem bestaat - Gegevens, de gegevens die door het systeem worden verwerkt - Organisatie, de organisatie die nodig is om het informatiesysteem te laten functioneren - Omgeving, de omgeving waarbinnen het informatiesysteem functioneert - Diensten, de externe diensten die nodig zijn om het systeem te laten functioneren Het is de bedoeling dat deskundigen - bijvoorbeeld de functioneel beheerder en technisch beheerder - de voornoemde componenten voor het eigen informatiesysteem beschrijven.

  • NCSC   ‐   Nationaal Cyber Security Centrum

    Het Nationaal Cyber Security Centrum is het centrale informatieknooppunt en expertisecentrum voor cybersecurity in Nederland. De missie van het NCSC is het bijdragen aan het vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein, en daarmee aan een veilige, open en stabiele informatiesamenleving. Het NCSC is internationaal het Nederlandse aanspreekpunt op het gebied van ICT-dreigingen en cybersecurity-incidenten. Ook is het NCSC een sleutelfiguur in de operationele coördinatie bij een grote ICT-crisis en de CERT voor de Rijksoverheid.

  • NEN 7510   ‐   Norm Informatiebeveiliging Zorginstellingen

    De norm NEN 7510 is een door het Nederlands Normalisatie-instituut ontwikkelde norm voor Informatiebeveiliging voor de zorgsector in Nederland. De norm is gebaseerd op de Code voor Informatiebeveiliging. In tegenstelling tot diverse andere NEN normen, is deze norm gratis beschikbaar bij het instituut. Voor de zorgsector is een aangepaste versie van de Code opgesteld. De reden hiervoor is dat er met name specifieke extra aandachtspunten zijn, zoals privacybescherming, en het taalgebruik, dat voor de zorgsector niet volledig duidelijk is.

  • P&C cyclus   ‐   Planning & Control cyclus

    Planning en control is een belangrijk onderdeel van het financieel management. Met de planning en control wordt op een systematische manier richting gegeven aan het financieel proces en het op koers houden van de organisatie. In de P&C wordt aangegeven wat er in het budget voor de organisatie in het komende jaar omgaat in de planning- en control cyclus. Het beschrijft voor iedere betrokkene binnen deze cyclus in hoofdlijnen het doel, de werkwijze en de tijdsplanning. Een goede planning en control draagt bij dat het budget zo efficiënt en effectief mogelijk wordt ingezet.

  • PDCA   ‐   Plan, Do, Check, Act cyclus

    De vier activiteiten in de kwaliteitscirkel van Deming zijn: PLAN: Kijk naar huidige werkzaamheden en ontwerp een plan voor de verbetering van deze werkzaamheden. Stel voor deze verbetering doelstellingen vast. DO: Voer de geplande verbetering uit in een gecontroleerde proefopstelling. CHECK: Meet het resultaat van de verbetering en vergelijk deze met de oorspronkelijke situatie en toets deze aan de vastgestelde doelstellingen. ACT: Bijstellen aan de hand van de gevonden resultaten bij CHECK.

  • PIA   ‐   Privacy impact assessment

    Een Privacy Impact Assessment (PIA) ofwel privacy-effect-beoordeling is een instrument waarmee organisaties privacy risico's in een vroegtijdig stadium op een gestructureerde en heldere manier in kaart kunnen brengen bij het bouwen van informatiesystemen of aanleggen van databestanden (en daarmee ook hogere kosten bij wijzigingen in informatiesystemen achteraf kunnen besparen). Het doel van de PIA is dan ook het voorkomen van kostbare aanpassingen in processen, herontwerp van systemen of stopzetten van een project door vroegtijdig inzicht in de belangrijkste privacy risico's.

  • PNIK   ‐   vragenlijst Paspoorten en Nederlandse IdentiteitsKaarten

    Voor de controle op de uitvoering van de paspoortwet is er een hulpmiddel. Dit is de digitale vragenlijst paspoorten en Nederlandse identiteitskaarten (PNIK). De burgemeesters/gezaghebbers informeren vóór 1 november van elk jaar aan de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) over de bevindingen van de controle.

  • PUN   ‐   PaspoortUitvoeringsregeling Nederland

    Deze regeling is gebaseerd op de paspoortwet en regelt de uitgifte van reisdocumenten (paspoorten en identiteitskaarten). Voor het controleren op de correcte uitvoering van de wet is een zelfevaluatie d.m.v. een vragenlijst. Deze vragenlijst wordt aangeduid met Zelfevaluatie Paspoorten en Nederlandse IdentiteitsKaarten (PNIK).

  • SIEM   ‐   Security Information and Event Management

    Security information en event management (SIEM) is ontstaan uit security information management (SIM) en security event management (SEM). Ze bieden real-time analyses van beveiligingswaarschuwingen gegenereerd door netwerkhardware en applicaties. Leveranciers verkopen SIEM als software, als apparatuur of als managed services. Deze producten worden ook gebruikt om beveiligingsgegevens te loggen en genereren rapporten om zo te voldoen aan relevante wetgeving. De acroniemen SEM, SIM en SIEM worden soms door elkaar gebruikt. Het segment van de security management dat zich bezighoudt met real-time monitoring, correlatie van gebeurtenissen, meldingen en uitzicht op de console is algemeen bekend als security event management (SEM). Het tweede gebied biedt langdurige opslag, alsmede analyses en rapportages van de loggegevens, en staat bekend als security information management (SIM). Organisaties wenden zich tot big data platforms, zoals Apache Hadoop, om SIEM-mogelijkheden aan te vullen door de uitbreiding van opslagcapaciteit en analytische flexibiliteit. De behoefte aan voice-centric vSIEM (voice beveiligingsinformatie en event management) is een recent voorbeeld van deze evolutie.

  • SUWI   ‐   wet Structuur Uitvoeringsorganisatie Werk en Inkomen

    In de wet structuur uitvoeringsorganisatie werk en inkomen (SUWI) is geregeld hoe de structuur met betrekking tot de uitvoering van taken inzake de arbeidsvoorziening en de sociale verzekeringswetten is vormgegeven. De wet bepaalt ook hoe de verschillende uitvoeringsorganen, het Uitvoeringsinstituut Werknemersverzekeringen (UWV), de Sociale Verzekeringsbank (SVB) en de gemeenten samenwerken.

  • Suwinet   ‐   Suwinet

    Via Suwinet Services kunnen overheidsorganisaties gegevens van burgers en bedrijven digitaal bij elkaar opvragen en naar elkaar sturen. Door gegevens binnen de overheid te delen kunnen burgers sneller en beter worden geholpen en hoeven zij geen gegevens te verstrekken die de overheid al heeft. Suwinet Services zijn primair bedoeld voor UWV, SVB en de gemeentelijke sociale diensten, maar inmiddels maken ook andere overheidsorganisaties gebruik van Suwinet Services.

  • VIAG   ‐   Vereniging van Informatie- en Automatiseringsprofessionals in Nederlandse Gemeenten

    De Vereniging van Informatie- en Automatiseringsprofessionals in Nederlandse Gemeenten (VIAG), is in 1991 opgericht. Dit is gebeurd op initiatief van een aantal gemeentelijke coördinatoren I&A. Zij hebben daarmee gehoor gegeven aan de behoefte om overlegstructuren te bundelen voor de groeiende groep van vakgenoten. Inmiddels is de functienaam coördinator I&A vaak vervangen door een andere benaming.

  • VIR   ‐   Voorschrift Informatiebeveiliging Rijksdienst

    Het Voorschrift Informatiebeveiliging Rijksdienst (VIR) is een op 1 januari 1995 van kracht geworden besluit dat regelt hoe de Nederlandse Rijksoverheid omgaat met de beveiliging van haar informatie, waaronder gerubriceerde of geclassificeerde informatie. Het VIR is geen lijst met maatregelen die moeten worden doorgevoerd maar geeft een aantal basisregels. Het VIR is een doelstellende regeling, die veel overlaat aan de verantwoordelijke beheerders zelf. De regeling stelt minimumeisen aan het te ontwikkelen beveiligingsbeleid binnen een ministerie. Daarnaast worden eisen gesteld aan het stelsel van maatregelen dat dit beleid in de praktijk moet brengen. De eerste versie van het VIR (VIR 1994) was geldig van 1 januari 1995 tot 30 juni 2007. Op 1 juli 2007 is vervolgens de nieuwe versie van het VIR (VIR 2007) van kracht geworden.

  • VNG   ‐   Vereniging van Nederlandse Gemeenten

    Samen met alle gemeenten staat de VNG voor kracht en kwaliteit van het lokaal bestuur. De VNG is een dienstverlenende organisatie en biedt een platform voor opinievorming en vernieuwing. De VNG is bovendien dé belangenbehartiger van alle gemeenten en dus een belangrijke gesprekspartner voor andere overheden en maatschappelijke organisaties.

  • Wbp   ‐   Wet bescherming persoonsgegevens

    De Nederlandse Wet bescherming persoonsgegevens (Wbp), geeft regels ter bescherming van de privacy van burgers. De wet is op 1 september 2001 in werking getreden en verving de Wet persoonsregistratie (1989). De Wbp is voor een groot deel gebaseerd op de Europese dataprotectierichtlijn (95/46/EG). Deze richtlijn is vervangen door de algemene verordening gegevensbescherming. (Wettekst: http://wetten.overheid.nl/BWBR0011468/2016-01-01)