IBP

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen
Overzicht
Type  :  IV-domein

Zie IV-domeinen voor een overzicht van alle informatievoorzieningsdomeinen


Een IV-domein biedt een 'bibliotheek' van elementen (ondersteunende processen, rollen, informatieobjecten, referentiecomponenten, ketenvoorzieningen, afspraken en standaarden) die toegepast kunnen worden om een bepaald aspect van informatievoorziening in te vullen ter ondersteuning van de verschillende ketenprocessen. De view hieronder toont de elementen in het IV-domein IBP.

Binnen het IV-domein biedt een IV-toepassingsscenario een referentiemodel van ondersteunende processen voor een specifieke toepassing in het domein, met bijbehorende referentiecomponenten, informatieobjecten en rollen. Het toepassingsscenario drukt dus uit hoe het IV-domeinmodel in een specifieke context (de 'toepassing') gerealiseerd kan worden. Voor bepaalde toepassingsscenario's zijn verschillende mogelijke inrichtingen denkbaar. Een IV-inrichtingsscenario is een referentiemodel voor een specifieke invulling van een IV-toepassingsscenario. IV-inrichtingsvarianten bestaan uit een selectie en/of configuratie van elementen uit het generieke toepassingsscenario en biedt een blauwdruk voor een concrete inrichting. Voor specifieke inrichtingsvarianten kunnen bepaalde afspraken / standaarden voorgeschreven zijn. Een IV-inrichting, ten slotte, is een herhaalbare concrete oplossing voor de invulling van een IV-inrichtingsvariant of -scenario. In een inrichting kunnen concrete ketenvoorzieningen en standaarden gepositioneerd worden.

Dit IV-domein omvat de volgende IV-toepassingsscenario's:

...de volgende IV-inrichtingsscenario's: geen

...de volgende IV-inrichtingsvarianten: geen

... en de volgende IV-inrichtingen:

geen
View
ROSA

Privacy en beveiliging heeft betrekking op doelen en principes die de veiligheid van informatie in de onderwijsketen en de bescherming van de privacy van betrokkenen waarborgen. De uit deze doelen en principes voortvloeiende kaders dienen door alle partijen in het onderwijsdomein in acht te worden genomen. Zie voor meer informatie en achtergronden het [https://www.edustandaard.nl/app/uploads/2017/05/02-07-2015_Bijlage_VI_-_ROSA_Katern_Privacy_en_informatiebeveiliging_v1.0.pdf ROSA Katern Kaders voor privacy en informatiebeveiliging in de onderwijsketen (v1.0, maart 2015)] (Grouping) IBP Ketenpartijen maken afspraken over de te realiseren ambitieniveaus en spreken elkaar daarop aan (Requirement) Afspraken over te realiseren ambitieniveaus Ketenpartijen voorkomen ongewenste traceerbaarheid en vindbaarheid van personen (Requirement) Voorkom ongewenste traceerbaarheid en vindbaarheid Ketenpartijen zorgen voor voldoende meet- en controlepunten (Requirement) Voldoende meet- en controlepunten Ketenpartijen waarborgen de toewijzing van persoonsgebonden gegevens (Requirement) Valideer persoonsgebonden gegevens Ketenpartijen zorgen dat handelingen herleidbaar zijn (Requirement) Handelingen zijn herleidbaar Hanteer het Certificeringsschema ROSA (Requirement) Hanteer Certificeringsschema ROSA Ketenpartijen hebben een kwaliteitssysteem, zoals een ISMS, voor informatiebeveiliging en privacybescherming. (Requirement) Ketenpartijen hebben een kwaliteitssysteem voor IBP Maak gebruik van de Uniforme Beveiligingsvoorschriften (Requirement) Gebruik UBV Ketenpartners nemen maatregelen op basis van een risicoanalyse en bijbehorende BIV-classificatie. (Principle) Risicogebaseerde BIV- classificatie en maatregelen Ketenpartners delen relevante beveiligingsinformatie. (Principle) Transparantie over beveiligingsinformatie Ketenpartners zorgen voor transparantie en afstemming over incidenten en incident responses (Requirement) Samenwerking rond incidentbeheersing Ketenpartners zorgen voor transparantie en kennisdeling over risico's en vulnerabilities. (Requirement) Samenwerking rond incidentpreventie Het onderwijsdomein organiseert sectorbrede sturing gericht op het borgen van IBP op een uniforme manier. (Principle) Sectorbrede sturing op IBP Om informatiebeveiliging en privacybescherming (IBP) effectief te waarborgen, is het essentieel dat ketenpartners die betrokken zijn bij ketensamenwerkingen gezamenlijk optrekken in het bepalen, implementeren en handhaven van IBP-maatregelen. (Principle) Samen optrekken in IBP Individuele partijen zijn verantwoordelijk voor een afdoende niveau van (eigen) informatiebeveiliging (Principle) Informatiebeveiliging door ketenpartijen Hanteer een functionele en foundational identity passend bij het betrouwbaarheidsniveau dat wordt vereist om een passende identiteitsverklaring te geven. (Requirement) Functionele en foundational identity passend bij betrouwbaarheidsniveau. Hanteer een authenticatiemiddel passend bij het betrouwbaarheidsniveau dat wordt vereist om een passende identiteitsverklaring te geven. (Requirement) Authenticatiemiddel passend bij betrouwbaarheidsniveau. Druk bevoegdheden uit als (a) zeggenschappen over gegevens en/of (b) toegangsrechten op systemen (H2M) en systeemfuncties (API) (Principle) Bevoegdheden als zeggenschappen en/of toegangsrechten Leg vast en beheer de relatie tussen een identiteit en een identiteit die namens die entiteit bevoegdheden mag gebruiken. Dit drukt uit wie mag handelen namens wie. (Requirement) Lifecyclemanagement van bevoegdheden namens een entiteit Leg vast en beheer de relatie tussen bevoegdheden en (attributen van) identiteiten. Dit drukt uit wie wat mag vanuit een bepaalde rol. (Requirement) Lifecyclemanagement van bevoegdheden van een entiteit Verwerking van persoonsgegevens moet toereikend zijn, ter zake dienend, en beperkt tot wat noodzakelijk is. (Principle) Dataminimalisatie Ketenpartijen bewaren gegevens niet langer dan strikt noodzakelijk (Principle) Gegevens worden niet langer bewaard dan strikt noodzakelijk Ketenpartners zorgen ervoor dat de juiste gegevens op het juiste moment op de juiste plaats beschikbaar (Principle) De juiste gegevens op het juiste moment op de juiste plaats Ketenpartners maken duidelijk welke eisen en verwachtingen ze van elkaar hebben (Principle) Duidelijke eisen en verwachtingen De mate waarin de persoonlijke levenssfeer van onderwijsdeelnemers en/of medewerkers wordt beschermd Duiding: Het recht op bescherming van de persoonlijke levenssfeer (‘privacy’) is een grondrecht. (Goal) Privacy De mate waarin de juistheid, volledigheid en tijdigheid van informatie zijn gewaarborgd. (Goal) Integriteit De mate waarin informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd. (Goal) Vertrouwelijkheid De mate waarin het inwinnen of uitwisselen van informatie beperkt is tot die situaties waarin en waarvoor die informatie nodig is (Goal) Noodzakelijkheid De mate waarin de transparantie van gegevensverwerking wordt gewaarborgd. Duiding: Integriteit betekent onder meer dat wat er gebeurt in het onderwijs betrouwbaar, transparant en controleerbaar is, net zoals de data en de systemen die gebruikt worden. Dit impliceert dat partijen transparant zijn over de soorten gegevens die zij verwerken, de wijze van verwerking, het doel waartoe die gegevens worden verwerkt en de manier waarop die gegevens tot beslissingen leiden. (Goal) Transparantie De mate waarin de mogelijkheid tot democratische controle op de activiteiten en resultaten is gewaarborgd Duiding: Het ‘democratische’ aspect van deze controle impliceert dat er controle kan plaatsvinden door stakeholders, met andere woorden: dat iedereen gehoord wordt / zich gehoord kan voelen. Dit kan eventueel in hiervoor ingerichte (governance) structuren. Het betekent dus niet dat ‘de meeste (of luidste) stemmen gelden’ (Goal) Democratische controleerbaarheid Ketenpartners voorkomen onrechtmatige toegang tot of verspreiding van gegevens (Principle) Voorkom onrechtmatige toegang of verspreiding Ketenpartners voorkomen aantasting van de integriteit van gegevens (Principle) Voorkom aantasting van gegevensintegriteit Ketenpartners waarborgen de continuïteit van dienstverlening (ook bij calamiteiten) (Principle) Continuïteit van de dienstverlening De mate waarin geautoriseerde gebruikers op de juiste momenten toegang hebben tot informatie en aanverwante bedrijfsmiddelen. Aantasting van beschikbaarheid kan bijvoorbeeld leiden tot aantasting van de continuïteit van bedrijfs- en/of ketenprocessen. (Goal) Beschikbaarheid De mate waarin wordt voldaan aan vooraf bepaalde normen en informatie tijdig wordt verstrekt en correct, compleet en actueel is. -- implicaties: Dit raakt inhoud en proces (en daarmee (ook) diensten). (Onderscheid inhoud / proces is hier van belang) (Goal) Betrouwbaarheid Ketensamenwerkingen hanteren een stelsel van afspraken op juridisch, organisatorisch, financieel, communicatief, semantisch en/of technisch gebied, zodat ketenpartners op een veilige en efficiënte manier kunnen samenwerken. (Principle) Ketensamenwerkingen hanteren een passend afsprakenstelsel De mate waarin inrichtingsopties zoals patronen onderling vergelijkbaar zijn (Goal) Vergelijkbaarheid Ketenpartners in het onderwijsdomein streven naar harmonisatie en standaardisatie in de informatiehuishouding. (Principle) Harmonisatie en standaardisatie We streven naar een betere afstemming en meer gemeenschappelijkheid in de informatiehuishouding van de administratieve ketenprocessen. (Goal) Gemeenschappelijkheid in informatiehuishouding Van gegevens die in ketenprocessen worden uitgewisseld, is duidelijk welke partijen welke zeggenschapsrechten over die gegevens hebben. (Principle) Zeggenschap in kaart InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship Deze svg is op 23-09-2024 17:33:46 CEST gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 23-09-2024 17:33:46 CEST
Toon de view op ware grootte
ROSA

Grouping IBP BusinessProcess BIV-classificatie bepalen BusinessProcess Beheersmaatregele- n bepalen BusinessProcess Beheersmaatregele- n controleren BusinessProcess Beheersmaatregele- n implementeren BusinessProcess IBP-eisen stellen In deze handreiking worden ‘Security Headers’ en de effectiviteit ervan inzichtelijk gemaakt, zodat eigenaren en beheerders van webapplicaties in het onderwijs, deze naar eigen inzicht en situatie kunnen toepassen. Dit heeft als doel om de veiligheid en betrouwbaarheid van webapplicaties in het onderwijs te verbeteren. (Requirement) Uniforme Beveiligingsvoorschriften – S ecurity Headers Ketenpartijen hebben te maken met verschillende gegevensuitwisselingen met de daarbij horende afspraken en standaarden. Hierbij worden ook afspraken gemaakt voor beveiliging. (Requirement) Uniforme Beveiligingsvoorschriften – T ransport Layer Security In deze standaard worden afspraken voor veilig en betrouwbaar e-mailverkeer behandeld. (Requirement) Uniforme Beveiligingsvoorschriften – Veilig e n Betrouwbaar e-mailverkeer Het Certificeringsschema informatiebeveiliging en privacy ROSA is bedoeld voor leveranciers van ict-toepassingen in de onderwijsketen. (Requirement) Certificeringsschema informatiebeveiliging en privacy ROSA De SURF Security Baseline is een set van maatregelen voor informatiebeveiliging. (Requirement) SURF Security Baseline Publieke dient waarmee onderwijsinstellingen op een veilige manier een uniek identificerend nummer (het ECK iD) voor leerlingen en docenten kunnen aanmaken. In de praktijk wordt dit proces uitgevoerd tussen het administratiesysteem van de onderwijsinstelling en de Nummervoorziening. (ApplicationComponent) Nummervoorziening Systeem met mogelijk IBP gevoelige data die verwerkt wordt en waarvoor een verwerkingsovereenkomst nodig is (zijn) (ApplicationComponent) Gegevensverwerke- nd Systeem Alle ondersteunende processen die invulling geven aan het inrichten van IBP-maatregelen. (Grouping) Inrichten IBP- maatregelen Een afnemer van een ict-toepassing. (BusinessRole) Afnemer De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers). (BusinessRole) Dienstverlener Een gebruiker van een ict-toepassing. (BusinessRole) Gebruiker Een geïdentificeerde of identificeerbare natuurlijke persoon over wie persoonsgegevens worden verwerkt. (BusinessRole) Betrokkene Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. (BusinessRole) Verwerkingsverant- woordelijke Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. (BusinessRole) Verwerker Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. (BusinessObject) Persoonsgegevens Een zelfstandige eenheid van informatie die betekenis heeft en daardoor bruikbaar c.q. van belang is binnen een bepaalde context. (BusinessObject) Informatieobject Een indeling van gegevens naar beschikbaarheid (B), integriteit (I) en vertrouwelijkheid (V). (BusinessObject) BIV-classificatie Maatregelen waarmee een risico wordt gemitigeerd. (BusinessObject) Beheersmaatregelen Deze svg is op 23-09-2024 20:26:37 CEST gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 23-09-2024 20:26:37 CEST
Toon de view op ware grootte
Meer informatie
ROSA
Privacy en beveiliging heeft betrekking op doelen en principes die de veiligheid van informatie in de onderwijsketen en de bescherming van de privacy van betrokkenen waarborgen. De uit deze doelen en principes voortvloeiende kaders dienen door alle partijen in het onderwijsdomein in acht te worden genomen. Zie voor meer informatie en achtergronden het [https://www.edustandaard.nl/app/uploads/2017/05/02-07-2015_Bijlage_VI_-_ROSA_Katern_Privacy_en_informatiebeveiliging_v1.0.pdf ROSA Katern Kaders voor privacy en informatiebeveiliging in de onderwijsketen (v1.0, maart 2015)] (Grouping) IBP Leg vast en beheer de relatie tussen een identiteit en een identiteit die namens die entiteit bevoegdheden mag gebruiken. Dit drukt uit wie mag handelen namens wie. (Requirement) Lifecyclemana- gement van bevoegdhede- n namens een entiteit Hanteer een authenticatiemiddel passend bij het betrouwbaarheidsniveau dat wordt vereist om een passende identiteitsverklaring te geven. (Requirement) Authenticatie- middel passend bij betrouwbaarh- eidsniveau. Ketenpartijen zorgen voor voldoende meet- en controlepunten (Requirement) Voldoende meet- en controlepunten Ketenpartijen maken afspraken over de te realiseren ambitieniveaus en spreken elkaar daarop aan (Requirement) Afspraken over te realiseren ambitieniveaus Hanteer het Certificeringsschema ROSA (Requirement) Hanteer Certificeringss- chema ROSA Ketenpartners nemen maatregelen op basis van een risicoanalyse en bijbehorende BIV-classificatie. (Principle) Risicogebase- erde BIV- classificatie en maatregelen Druk bevoegdheden uit als (a) zeggenschappen over gegevens en/of (b) toegangsrechten op systemen (H2M) en systeemfuncties (API) (Principle) Bevoegdhede- n als zeggenschap- pen en/of toegangsrecht- en Leg vast en beheer de relatie tussen bevoegdheden en (attributen van) identiteiten. Dit drukt uit wie wat mag vanuit een bepaalde rol. (Requirement) Lifecyclemana- gement van bevoegdhede- n van een entiteit Om informatiebeveiliging en privacybescherming (IBP) effectief te waarborgen, is het essentieel dat ketenpartners die betrokken zijn bij ketensamenwerkingen gezamenlijk optrekken in het bepalen, implementeren en handhaven van IBP-maatregelen. (Principle) Samen optrekken in IBP Ketenpartijen hebben een kwaliteitssysteem, zoals een ISMS, voor informatiebeveiliging en privacybescherming. (Requirement) Ketenpartijen hebben een kwaliteitssyste- em voor IBP Ketenpartijen zorgen dat handelingen herleidbaar zijn (Requirement) Handelingen zijn herleidbaar Hanteer een functionele en foundational identity passend bij het betrouwbaarheidsniveau dat wordt vereist om een passende identiteitsverklaring te geven. (Requirement) Functionele en foundational identity passend bij betrouwbaarh- eidsniveau. Ketenpartners zorgen voor transparantie en afstemming over incidenten en incident responses (Requirement) Samenwerkin- g rond incidentbehee- rsing Ketenpartners delen relevante beveiligingsinformatie. (Principle) Transparantie over beveiligingsinf- ormatie Ketenpartijen voorkomen ongewenste traceerbaarheid en vindbaarheid van personen (Requirement) Voorkom ongewenste traceerbaarhei- d en vindbaarheid Ketenpartners zorgen voor transparantie en kennisdeling over risico's en vulnerabilities. (Requirement) Samenwerkin- g rond incidentpreven- tie Ketenpartijen zorgen voor een goede incident response (Requirement) Incident response Individuele partijen zijn verantwoordelijk voor een afdoende niveau van (eigen) informatiebeveiliging (Principle) Informatiebeve- iliging door ketenpartijen Maak gebruik van de Uniforme Beveiligingsvoorschriften (Requirement) Gebruik UBV Ketenpartijen waarborgen de toewijzing van persoonsgebonden gegevens (Requirement) Valideer persoonsgebo- nden gegevens Het onderwijsdomein organiseert sectorbrede sturing gericht op het borgen van IBP op een uniforme manier. (Principle) Sectorbrede sturing op IBP AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship Deze svg is op 23-09-2024 20:26:38 CEST gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 23-09-2024 20:26:38 CEST
ROSA
Grouping IBP Systeem met mogelijk IBP gevoelige data die verwerkt wordt en waarvoor een verwerkingsovereenkomst nodig is (zijn) (ApplicationComponent) Gegevensver- werkend Systeem Een indeling van gegevens naar beschikbaarheid (B), integriteit (I) en vertrouwelijkheid (V). (BusinessObject) BIV- classificatie In deze standaard worden afspraken voor veilig en betrouwbaar e-mailverkeer behandeld. (Requirement) Uniforme Beveiligingsvo- orschriften – V eilig en Betrouwbaar e- mailverkeer Een geïdentificeerde of identificeerbare natuurlijke persoon over wie persoonsgegevens worden verwerkt. (BusinessRole) Betrokkene BusinessProcess BIV- classificatie bepalen BusinessProcess Beheersmaatr- egelen controleren Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. (BusinessObject) Persoonsgege- vens BusinessProcess Beheersmaatr- egelen implementeren Het Certificeringsschema informatiebeveiliging en privacy ROSA is bedoeld voor leveranciers van ict-toepassingen in de onderwijsketen. (Requirement) Certificeringss- chema informatiebeve- iliging en privacy ROSA Ketenpartijen hebben te maken met verschillende gegevensuitwisselingen met de daarbij horende afspraken en standaarden. Hierbij worden ook afspraken gemaakt voor beveiliging. (Requirement) Uniforme Beveiligingsvo- orschriften – T ransport Layer Security Een gebruiker van een ict-toepassing. (BusinessRole) Gebruiker De SURF Security Baseline is een set van maatregelen voor informatiebeveiliging. (Requirement) SURF Security Baseline Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. (BusinessRole) Verwerker Maatregelen waarmee een risico wordt gemitigeerd. (BusinessObject) Beheersmaatr- egelen Alle ondersteunende processen die invulling geven aan het inrichten van IBP-maatregelen. (Grouping) Inrichten IBP- maatregelen Publieke dient waarmee onderwijsinstellingen op een veilige manier een uniek identificerend nummer (het ECK iD) voor leerlingen en docenten kunnen aanmaken. In de praktijk wordt dit proces uitgevoerd tussen het administratiesysteem van de onderwijsinstelling en de Nummervoorziening. (ApplicationComponent) Nummervoorzi- ening De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers). (BusinessRole) Dienstverlener BusinessProcess IBP-eisen stellen In deze handreiking worden ‘Security Headers’ en de effectiviteit ervan inzichtelijk gemaakt, zodat eigenaren en beheerders van webapplicaties in het onderwijs, deze naar eigen inzicht en situatie kunnen toepassen. Dit heeft als doel om de veiligheid en betrouwbaarheid van webapplicaties in het onderwijs te verbeteren. (Requirement) Uniforme Beveiligingsvo- orschriften – S ecurity Headers Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. (BusinessRole) Verwerkingsv- erantwoordelij- ke BusinessProcess Beheersmaatr- egelen bepalen Een zelfstandige eenheid van informatie die betekenis heeft en daardoor bruikbaar c.q. van belang is binnen een bepaalde context. (BusinessObject) Informatieobje- ct Een afnemer van een ict-toepassing. (BusinessRole) Afnemer AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship Deze svg is op 23-09-2024 20:26:38 CEST gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 23-09-2024 20:26:38 CEST


Komt voor in
Relaties
Komt voor in andere modellen
Zie ook:
Details IBP
Elementtype  : Grouping
Element-id  : Id-13dddf1aec9d429fa4663778d8c6980d
Element URI  : https://rosa.wikixl.nl/index.php/Id-13dddf1aec9d429fa4663778d8c6980d
ArchiMate-model  : ROSA
Label  : IBP