Inrichten IBP-maatregelen

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen
ArchiMate-modellen > ROSA > Groupings > Inrichten IBP-maatregelen
Overzicht
Alle ondersteunende processen die invulling geven aan het inrichten van IBP-maatregelen.
Type  :  IV-domein

Zie IV-domeinen voor een overzicht van alle informatievoorzieningsdomeinen

Dit IV-domein komt voor in de volgende scenario's:

Komt voor inScenariotype
Inrichten IBP-maatregelenOndersteuningsscenario
View

Deze pagina bevat een concepttekst die momenteel in bewerking is.

ROSA

Deze pagina toont de conceptuitwerking voor het informatievoorzieningsdomein IBP (Informatiebeveiliging en Privacy). De scope van dit IV-domein is Informatiebeveiliging en privacy van ict-toepassingen (of 'diensten'). IBP is in de basis breder, en omvat bijvoorbeeld ook zaken als fysieke beveiliging en awareness die buiten scope van dit IV-domein vallen. Merk op dat, conform de scope van ROSA, IBP hier beschouwd wordt vanuit de keten. Organisaties binnen de keten moeten als organisatie zelf ook hun informatiebeveiliging en privacybescherming op orde hebben. Die - organisatiespecifieke - invulling is gestoeld op een interne plan-do-check-act-cyclus van risicoanalyse, beheersmaatregelen en controles. Zo'n managementinstrument wordt ook wel een ISMS (information security management system) genoemd - waarbij 'systeem' overigens niet staat voor een softwaresysteem maar voor een manier van werken gericht op sturing en beheersing. In de uitwerking wordt ook de relatie gelegd met rollen Verwerker, Verwerkingsverantwoordelijke en Betrokkene die in de AVG zijn benoemd, en van toepassing zijn indien er sprake is van verwerking van persoonsgegevens. De invulling van die rollen, en de precieze correspondentie tussen de AVG en de algemenere IBP-rollen Aanbieder, Afnemer en Gebruiker, kan per situatie anders zijn ingevuld. De rol van 'Verantwoordelijke' kan bijvoorbeeld worden ingevuld door een Onderwijsinstelling, een Leverancier die rechtstreeks aanbiedt, een overheidspartij, etc. De relaties in het model drukken dit als volgt uit:

  • Een Aanbieder van een Ict-toepassing kan een Verwerker zijn (indien de verwerking van persoonsgegevens in opdracht / onder verantwoordelijkheid van een andere partij plaats vindt) en/of een Verwerkingsverantwoordelijke (indien de aanbieder zelf het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt).
  • Een Afnemer van een Ict-toepassing die persoonsgegevens verwerkt kan, indien de afnemer het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, Verwerkingsverantwoordelijke zijn in de zin van de AVG.
  • Een Gebruiker van een Ict-toepassing zal in de regel ook één van de Betrokkenen zijn in de zin van de AVG, omdat bij het gebruik van een Ict-toepassing vaak sprake is van persoonsgegevens (namelijk gebruiksgegevens aan de hand waarvan de gebruiker direct of indirect kan worden geïdentificeerd). Merk op dat een betrokkene zelf geen gebruiker van de toepassing hoeft te zijn - denk bijvoorbeeld aan de registratie van informatie over een Onderwijsdeelnemer in een administratiesysteem.

Alle ondersteunende processen die invulling geven aan het inrichten van IBP-maatregelen. (Grouping) Inrichten IBP-maatregelen BusinessProcess BIV-classificatie bepalen Een indeling van gegevens naar beschikbaarheid (B), integriteit (I) en vertrouwelijkheid (V). (BusinessObject) BIV-classificatie BusinessProcess Beheersmaatregelen implementeren Maatregelen waarmee een risico wordt gemitigeerd. (BusinessObject) Beheersmaatregelen BusinessProcess Beheersmaatregele- n controleren De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers). (BusinessRole) Dienstverlener Een afnemer van een ict-toepassing. (BusinessRole) Afnemer Een gebruiker van een ict-toepassing. (BusinessRole) Gebruiker BusinessProcess IBP-eisen stellen BusinessProcess Beheersmaatregelen bepalen Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. (Bron: AVG) (BusinessRole) Verwerkingsverantwo- ordelijke Een geïdentificeerde of identificeerbare natuurlijke persoon over wie persoonsgegevens worden verwerkt. (Bron: AVG) (BusinessRole) Betrokkene Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. (Bron: AVG) (BusinessRole) Verwerkingsverantwo- ordelijke Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. (BusinessRole) Verwerker Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. (BusinessObject) Persoonsgegevens Een zelfstandige eenheid van informatie die betekenis heeft en daardoor bruikbaar c.q. van belang is binnen een bepaalde context. (BusinessObject) Informatieobject Systeem met mogelijk IBP gevoelige data die verwerkt wordt en waarvoor een verwerkingsovereenkomst nodig is (zijn) (ApplicationComponent) Gegevensverwerkend Systeem ApplicationService Gegevensverwerking Maak gebruik van de Uniforme Beveiligingsvoorschriften (Requirement) Gebruik UBV Hanteer het Certificeringsschema ROSA (Requirement) Hanteer Certificeringsschema ROSA De Edukoppeling transactiestandaard wordt gebruikt voor de communicatie (M2M) ten behoeve van in ieder geval vertrouwelijke gegevensuitwisseling (Requirement) Gebruik Edukoppeling voor vertrouwelijke gegevensuitwisseling Ketenpartijen maken afspraken over de te realiseren ambitieniveaus en spreken elkaar daarop aan (Requirement) Afspraken over te realiseren ambitieniveaus Ketenpartijen maken duidelijk welke eisen en verwachtingen ze van elkaar hebben (Requirement) Duidelijke eisen en verwachtingen Ketenpartijen gebruiken technieken voor veilig programmeren (Requirement) Gebruik technieken voor veilig programmeren Ketenpartijen bewaren gegevens niet langer dan strikt noodzakelijk (Requirement) Gegevens worden niet langer bewaard dan strikt noodzakelijk Ketenpartijen zorgen dat handelingen herleidbaar zijn (Requirement) Handelingen zijn herleidbaar Ketenpartijen zorgen voor een goede incident response (Requirement) Incident response Ketenpartijen hebben een kwaliteitssysteem, zoals een ISMS, voor informatiebeveiliging en privacybescherming. (Requirement) Ketenpartijen hebben een kwaliteitssysteem voor IBP Ketenpartijen voeren proactief technisch beheer uit (Requirement) Proactief technisch beheer Ketenpartijen werken aan het opstellen en gebruik maken van sectorbrede frameworks en baselines (Requirement) Sectorbrede frameworks en baselines Ketenpartijen zijn transparant over de genomen privacy- en beveiligingsmaatregelen (Requirement) Transparantie over maatregelen Ketenpartijen waarborgen de toewijzing van persoonsgebonden gegevens (Requirement) Valideer persoonsgebonden gegevens Ketenpartijen zorgen voor voldoende meet- en controlepunten (Requirement) Voldoende meet- en controlepunten Ketenpartijen voorkomen aantasting van de integriteit van gegevens (Requirement) Voorkom aantasting van integriteit Ketenpartijen voorkomen ongewenste traceerbaarheid en vindbaarheid van personen (Requirement) Voorkom ongewenste traceerbaarheid en vindbaarheid Ketenpartijen voorkomen onrechtmatige toegang tot of verspreiding van gegevens (Requirement) Voorkom onrechtmatige toegang of verspreiding InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship AccessRelationship W AccessRelationship R InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship AccessRelationship R AssignmentRelationship AssignmentRelationship AssignmentRelationship SpecializationRelationship SpecializationRelationship AssociationRelationship biedt aan AssignmentRelationship AssignmentRelationship SpecializationRelationship AssociationRelationship neemt af SpecializationRelationship AccessRelationship W AccessRelationship R AccessRelationship W InfluenceRelationship InfluenceRelationship SpecializationRelationship AssociationRelationship betreft InfluenceRelationship InfluenceRelationship InfluenceRelationship ServingRelationship AccessRelationship RW InfluenceRelationship Deze svg is op 05-07-2024 15:28:58 CEST gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 05-07-2024 15:28:58 CEST
Toon de view op ware grootte
Meer informatie
ROSA
Alle ondersteunende processen die invulling geven aan het inrichten van IBP-maatregelen. (Grouping) Inrichten IBP- maatregelen Publieke dient waarmee onderwijsinstellingen op een veilige manier een uniek identificerend nummer (het ECK iD) voor leerlingen en docenten kunnen aanmaken. In de praktijk wordt dit proces uitgevoerd tussen het administratiesysteem van de onderwijsinstelling en de Nummervoorziening. (ApplicationComponent) Nummervoorzi- ening In deze handreiking worden ‘Security Headers’ en de effectiviteit ervan inzichtelijk gemaakt, zodat eigenaren en beheerders van webapplicaties in het onderwijs, deze naar eigen inzicht en situatie kunnen toepassen. Dit heeft als doel om de veiligheid en betrouwbaarheid van webapplicaties in het onderwijs te verbeteren. (Requirement) Uniforme Beveiligingsvo- orschriften – S ecurity Headers De SURF Security Baseline is een set van maatregelen voor informatiebeveiliging. (Requirement) SURF Security Baseline Maatregelen waarmee een risico wordt gemitigeerd. (BusinessObject) Beheersmaatr- egelen BusinessProcess Beheersmaatr- egelen controleren Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. (Bron: AVG) (BusinessRole) Verwerkingsv- erantwoordelij- ke Ketenpartijen maken afspraken over de te realiseren ambitieniveaus en spreken elkaar daarop aan (Requirement) Afspraken over te realiseren ambitieniveaus BusinessProcess IBP-eisen stellen Een indeling van gegevens naar beschikbaarheid (B), integriteit (I) en vertrouwelijkheid (V). (BusinessObject) BIV- classificatie Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. (BusinessRole) Verwerker Ketenpartijen werken aan het opstellen en gebruik maken van sectorbrede frameworks en baselines (Requirement) Sectorbrede frameworks en baselines De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers). (BusinessRole) Dienstverlener BusinessProcess BIV- classificatie bepalen BusinessProcess Beheersmaatr- egelen implementeren Een afnemer van een ict-toepassing. (BusinessRole) Afnemer Een geïdentificeerde of identificeerbare natuurlijke persoon over wie persoonsgegevens worden verwerkt. (Bron: AVG) (BusinessRole) Betrokkene Een zelfstandige eenheid van informatie die betekenis heeft en daardoor bruikbaar c.q. van belang is binnen een bepaalde context. (BusinessObject) Informatieobje- ct Ketenpartijen hebben te maken met verschillende gegevensuitwisselingen met de daarbij horende afspraken en standaarden. Hierbij worden ook afspraken gemaakt voor beveiliging. (Requirement) Uniforme Beveiligingsvo- orschriften – T ransport Layer Security Ketenpartijen zorgen voor voldoende meet- en controlepunten (Requirement) Voldoende meet- en controlepunten Het Certificeringsschema informatiebeveiliging en privacy ROSA is bedoeld voor leveranciers van ict-toepassingen in de onderwijsketen. (Requirement) Certificeringss- chema informatiebeve- iliging en privacy ROSA Ketenpartijen maken duidelijk welke eisen en verwachtingen ze van elkaar hebben (Requirement) Duidelijke eisen en verwachtingen Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. (BusinessObject) Persoonsgege- vens Ketenpartijen zorgen voor een goede incident response (Requirement) Incident response Een gebruiker van een ict-toepassing. (BusinessRole) Gebruiker In deze standaard worden afspraken voor veilig en betrouwbaar e-mailverkeer behandeld. (Requirement) Uniforme Beveiligingsvo- orschriften – V eilig en Betrouwbaar e- mailverkeer Ketenpartijen hebben een kwaliteitssysteem, zoals een ISMS, voor informatiebeveiliging en privacybescherming. (Requirement) Ketenpartijen hebben een kwaliteitssyste- em voor IBP BusinessProcess Beheersmaatr- egelen bepalen Systeem met mogelijk IBP gevoelige data die verwerkt wordt en waarvoor een verwerkingsovereenkomst nodig is (zijn) (ApplicationComponent) Gegevensver- werkend Systeem AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship InfluenceRelationship AggregationRelationship AggregationRelationship AggregationRelationship InfluenceRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship InfluenceRelationship AggregationRelationship InfluenceRelationship AggregationRelationship InfluenceRelationship AggregationRelationship AggregationRelationship InfluenceRelationship AggregationRelationship AggregationRelationship Deze svg is op 05-07-2024 15:28:59 CEST gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 05-07-2024 15:28:59 CEST


Komt voor in
Relaties
Komt voor in andere modellen
Details Inrichten IBP-maatregelen
Elementtype  : Grouping
Element-id  : Id-225ebca8097947a99121c278e18126a0
Element URI  : https://rosa.wikixl.nl/index.php/Id-225ebca8097947a99121c278e18126a0
ArchiMate-model  : ROSA
Label  : Inrichten IBP-maatregelen