Inrichten IBP-maatregelen

Uit ROSA Wiki
Naar navigatie springen Naar zoeken springen
ArchiMate-modellen > ROSA > Groupings > Inrichten IBP-maatregelen
Overzicht
Alle ondersteunende processen die invulling geven aan het inrichten van IBP-maatregelen.
Type  :  IV-toepassingsscenario
Dit IV-toepassingsscenario valt binnen het IV-domein IBP


Ondersteunende processen

BIV-classificatie bepalen

Beheersmaatregelen bepalen

Beheersmaatregelen controleren

Beheersmaatregelen implementeren

IBP-eisen stellen

Informatieobjecten

BIV-classificatie

Een indeling van gegevens naar beschikbaarheid (B), integriteit (I) en vertrouwelijkheid (V).

Beheersmaatregelen

Maatregelen waarmee een risico wordt gemitigeerd.

Persoonsgegevens

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.

Rollen

Afnemer

Een afnemer van een ict-toepassing.

Betrokkene

Een geïdentificeerde of identificeerbare natuurlijke persoon over wie persoonsgegevens worden verwerkt.

Dienstverlener

De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers).

Het gaat in het kader van de ROSA vooral om ict-diensten die zowel door private als publieke leveranciers geleverd kunnen worden.

Gebruiker

Een gebruiker van een ict-toepassing.

Verwerker

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Verwerkingsverantwoordelijke

Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Referentiecomponenten

Gegevensverwerkend Systeem

Systeem met mogelijk IBP gevoelige data die verwerkt wordt en waarvoor een verwerkingsovereenkomst nodig is (zijn)
View

Deze pagina bevat een concepttekst die momenteel in bewerking is.

ROSA

Deze pagina toont de conceptuitwerking voor het informatievoorzieningsdomein IBP (Informatiebeveiliging en Privacy). De scope van dit IV-domein is Informatiebeveiliging en privacy van ict-toepassingen (of 'diensten'). IBP is in de basis breder, en omvat bijvoorbeeld ook zaken als fysieke beveiliging en awareness die buiten scope van dit IV-domein vallen. Merk op dat, conform de scope van ROSA, IBP hier beschouwd wordt vanuit de keten. Organisaties binnen de keten moeten als organisatie zelf ook hun informatiebeveiliging en privacybescherming op orde hebben. Die - organisatiespecifieke - invulling is gestoeld op een interne plan-do-check-act-cyclus van risicoanalyse, beheersmaatregelen en controles. Zo'n managementinstrument wordt ook wel een ISMS (information security management system) genoemd - waarbij 'systeem' overigens niet staat voor een softwaresysteem maar voor een manier van werken gericht op sturing en beheersing. In de uitwerking wordt ook de relatie gelegd met rollen Verwerker, Verwerkingsverantwoordelijke en Betrokkene die in de AVG zijn benoemd, en van toepassing zijn indien er sprake is van verwerking van persoonsgegevens. De invulling van die rollen, en de precieze correspondentie tussen de AVG en de algemenere IBP-rollen Aanbieder, Afnemer en Gebruiker, kan per situatie anders zijn ingevuld. De rol van 'Verantwoordelijke' kan bijvoorbeeld worden ingevuld door een Onderwijsinstelling, een Leverancier die rechtstreeks aanbiedt, een overheidspartij, etc. De relaties in het model drukken dit als volgt uit:

  • Een Aanbieder van een Ict-toepassing kan een Verwerker zijn (indien de verwerking van persoonsgegevens in opdracht / onder verantwoordelijkheid van een andere partij plaats vindt) en/of een Verwerkingsverantwoordelijke (indien de aanbieder zelf het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt).
  • Een Afnemer van een Ict-toepassing die persoonsgegevens verwerkt kan, indien de afnemer het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt, Verwerkingsverantwoordelijke zijn in de zin van de AVG.
  • Een Gebruiker van een Ict-toepassing zal in de regel ook één van de Betrokkenen zijn in de zin van de AVG, omdat bij het gebruik van een Ict-toepassing vaak sprake is van persoonsgegevens (namelijk gebruiksgegevens aan de hand waarvan de gebruiker direct of indirect kan worden geïdentificeerd). Merk op dat een betrokkene zelf geen gebruiker van de toepassing hoeft te zijn - denk bijvoorbeeld aan de registratie van informatie over een Onderwijsdeelnemer in een administratiesysteem.

Alle ondersteunende processen die invulling geven aan het inrichten van IBP-maatregelen. (Grouping) Inrichten IBP-maatregelen BusinessProcess BIV-classificatie bepalen Een indeling van gegevens naar beschikbaarheid (B), integriteit (I) en vertrouwelijkheid (V). (BusinessObject) BIV-classificatie BusinessProcess Beheersmaatregelen implementeren Maatregelen waarmee een risico wordt gemitigeerd. (BusinessObject) Beheersmaatregelen BusinessProcess Beheersmaatregele- n controleren De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers). (BusinessRole) Dienstverlener Een afnemer van een ict-toepassing. (BusinessRole) Afnemer Een gebruiker van een ict-toepassing. (BusinessRole) Gebruiker BusinessProcess IBP-eisen stellen BusinessProcess Beheersmaatregelen bepalen Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. (BusinessRole) Verwerkingsverantwo- ordelijke Een geïdentificeerde of identificeerbare natuurlijke persoon over wie persoonsgegevens worden verwerkt. (BusinessRole) Betrokkene Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. (BusinessRole) Verwerkingsverantwo- ordelijke Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. (BusinessRole) Verwerker Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. (BusinessObject) Persoonsgegevens Een zelfstandige eenheid van informatie die betekenis heeft en daardoor bruikbaar c.q. van belang is binnen een bepaalde context. (BusinessObject) Informatieobject Systeem met mogelijk IBP gevoelige data die verwerkt wordt en waarvoor een verwerkingsovereenkomst nodig is (zijn) (ApplicationComponent) Gegevensverwerkend Systeem ApplicationService Gegevensverwerking Maak gebruik van de Uniforme Beveiligingsvoorschriften (Requirement) Gebruik UBV Hanteer het Certificeringsschema ROSA (Requirement) Hanteer Certificeringsschema ROSA De Edukoppeling transactiestandaard wordt gebruikt voor de communicatie (M2M) ten behoeve van in ieder geval vertrouwelijke gegevensuitwisseling (Requirement) Gebruik Edukoppeling voor vertrouwelijke gegevensuitwisseling Ketenpartijen maken afspraken over de te realiseren ambitieniveaus en spreken elkaar daarop aan (Requirement) Afspraken over te realiseren ambitieniveaus Ketenpartijen maken duidelijk welke eisen en verwachtingen ze van elkaar hebben (Requirement) Duidelijke eisen en verwachtingen Ketenpartijen gebruiken technieken voor veilig programmeren (Requirement) Gebruik technieken voor veilig programmeren Ketenpartijen bewaren gegevens niet langer dan strikt noodzakelijk (Requirement) Gegevens worden niet langer bewaard dan strikt noodzakelijk Ketenpartijen zorgen dat handelingen herleidbaar zijn (Requirement) Handelingen zijn herleidbaar Ketenpartijen zorgen voor een goede incident response (Requirement) Incident response Ketenpartijen hebben een kwaliteitssysteem, zoals een ISMS, voor informatiebeveiliging en privacybescherming. (Requirement) Ketenpartijen hebben een kwaliteitssysteem voor IBP Ketenpartijen voeren proactief technisch beheer uit (Requirement) Proactief technisch beheer Ketenpartijen werken aan het opstellen en gebruik maken van sectorbrede frameworks en baselines (Requirement) Sectorbrede frameworks en baselines Ketenpartijen zijn transparant over de genomen privacy- en beveiligingsmaatregelen (Requirement) Transparantie over maatregelen Ketenpartijen waarborgen de toewijzing van persoonsgebonden gegevens (Requirement) Valideer persoonsgebonden gegevens Ketenpartijen zorgen voor voldoende meet- en controlepunten (Requirement) Voldoende meet- en controlepunten Ketenpartijen voorkomen aantasting van de integriteit van gegevens (Requirement) Voorkom aantasting van integriteit Ketenpartijen voorkomen ongewenste traceerbaarheid en vindbaarheid van personen (Requirement) Voorkom ongewenste traceerbaarheid en vindbaarheid Ketenpartijen voorkomen onrechtmatige toegang tot of verspreiding van gegevens (Requirement) Voorkom onrechtmatige toegang of verspreiding InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship AccessRelationship W AccessRelationship R InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship InfluenceRelationship AccessRelationship R AssignmentRelationship AssignmentRelationship AssignmentRelationship SpecializationRelationship SpecializationRelationship AssociationRelationship biedt aan AssignmentRelationship AssignmentRelationship SpecializationRelationship AssociationRelationship neemt af SpecializationRelationship AccessRelationship W AccessRelationship R AccessRelationship W InfluenceRelationship InfluenceRelationship SpecializationRelationship AssociationRelationship betreft InfluenceRelationship InfluenceRelationship InfluenceRelationship ServingRelationship AccessRelationship RW InfluenceRelationship Deze svg is op 24-09-2024 09:04:41 CEST gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 24-09-2024 09:04:41 CEST
Toon de view op ware grootte
Meer informatie
ROSA
Alle ondersteunende processen die invulling geven aan het inrichten van IBP-maatregelen. (Grouping) Inrichten IBP- maatregelen Maatregelen waarmee een risico wordt gemitigeerd. (BusinessObject) Beheersmaatr- egelen BusinessProcess Beheersmaatr- egelen controleren Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. (BusinessRole) Verwerkingsv- erantwoordelij- ke Ketenpartijen maken afspraken over de te realiseren ambitieniveaus en spreken elkaar daarop aan (Requirement) Afspraken over te realiseren ambitieniveaus BusinessProcess IBP-eisen stellen Een indeling van gegevens naar beschikbaarheid (B), integriteit (I) en vertrouwelijkheid (V). (BusinessObject) BIV- classificatie Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. (BusinessRole) Verwerker Ketenpartijen werken aan het opstellen en gebruik maken van sectorbrede frameworks en baselines (Requirement) Sectorbrede frameworks en baselines De persoon of organisatie die voorziet in het leveren van een afgebakende prestatie (dienst) aan haar omgeving (de afnemers). (BusinessRole) Dienstverlener BusinessProcess BIV- classificatie bepalen BusinessProcess Beheersmaatr- egelen implementeren Een afnemer van een ict-toepassing. (BusinessRole) Afnemer Een geïdentificeerde of identificeerbare natuurlijke persoon over wie persoonsgegevens worden verwerkt. (BusinessRole) Betrokkene Een zelfstandige eenheid van informatie die betekenis heeft en daardoor bruikbaar c.q. van belang is binnen een bepaalde context. (BusinessObject) Informatieobje- ct Grouping IBP Ketenpartijen zorgen voor voldoende meet- en controlepunten (Requirement) Voldoende meet- en controlepunten Ketenpartijen maken duidelijk welke eisen en verwachtingen ze van elkaar hebben (Requirement) Duidelijke eisen en verwachtingen Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. (BusinessObject) Persoonsgege- vens Ketenpartijen zorgen voor een goede incident response (Requirement) Incident response Een gebruiker van een ict-toepassing. (BusinessRole) Gebruiker Ketenpartijen hebben een kwaliteitssysteem, zoals een ISMS, voor informatiebeveiliging en privacybescherming. (Requirement) Ketenpartijen hebben een kwaliteitssyste- em voor IBP BusinessProcess Beheersmaatr- egelen bepalen Systeem met mogelijk IBP gevoelige data die verwerkt wordt en waarvoor een verwerkingsovereenkomst nodig is (zijn) (ApplicationComponent) Gegevensver- werkend Systeem AggregationRelationship AggregationRelationship AggregationRelationship InfluenceRelationship AggregationRelationship AggregationRelationship AggregationRelationship InfluenceRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship AggregationRelationship InfluenceRelationship InfluenceRelationship AggregationRelationship InfluenceRelationship AggregationRelationship InfluenceRelationship AggregationRelationship AggregationRelationship Deze svg is op 24-09-2024 09:04:42 CEST gegenereerd door ArchiMedes™ © 2016-2024 ArchiXL. ArchiMedes 24-09-2024 09:04:42 CEST


Komt voor in
Relaties
Komt voor in andere modellen
Details Inrichten IBP-maatregelen
Elementtype  : Grouping
Element-id  : Id-225ebca8097947a99121c278e18126a0
Element URI  : https://rosa.wikixl.nl/index.php/Id-225ebca8097947a99121c278e18126a0
ArchiMate-model  : ROSA
Label  : Inrichten IBP-maatregelen