Ga naar inhoud

Beveiliging informatie en informatiesystemen

bio-01Technische robuustheid en veiligheid

Vereiste

Informatie en informatiesystemen moeten op de juiste manier worden beveiligd.

Toelichting

Informatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen. In Nederland is besloten dat overheidsinstellingen de Baseline Informatiebeveiliging Overheid (BIO) dienen toe te passen over hun informatie en informatiesystemen. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle onderdelen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. Algoritmes en AI-systemen en hun output kunnen onderdeel worden van de informatie en informatiesystemen waar de BIO op van toepassing is. Het is van belang om algoritmische toepassingen en AI-systemen op de juiste manier te beveiligen.

Bronnen

Wanneer van toepassing?

Risico

Er kunnen risico's ontstaan zoals ongeautoriseerde toegang, vernietiging, verlies, wijziging of niet-toegestane verwerking van gegevens als de informatie en informatiesystemen onvoldoende zijn beveiligd.

Maatregelen

idMaatregelenRollenLevenscyclusOnderwerpen
Maak back-ups van algoritmes proceseigenaar projectleider informatiebeheerder data-engineer security-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance
Bespreek de vereiste met aanbieder of opdrachtnemer proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist aanbieder opdrachtnemer ontwerp ontwikkelen publieke-inkoop
Zorg voor een goede beveiliging van een algoritme. projectleider informatiebeheerder security-officer privacy-officer ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance
Creëer ruimte in het contract om opdrachtgever en aanbieder/opdrachtnemer te laten samenwerken om deze vereiste te realiseren. proceseigenaar behoeftesteller inkoopadviseur aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop
Richt een incidentmanagement proces in voor informatiebeveiligingsincidenten projectleider informatiebeheerder security-officer proceseigenaar organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance
Zorg ervoor dat logbestanden worden gecreëerd waarin informatie wordt geregistreerd over gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen projectleider informatiebeheerder security-officer archiefdeskundige ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle
Maak de vereiste onderdeel van het programma van eisen proceseigenaar behoeftesteller data-scientist inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop
Maak de vereiste onderdeel van de contractovereenkomst behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop
Maak de vereiste onderdeel van Service Level Agreement proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist data-scientist aanbieder ontwerp ontwikkelen publieke-inkoop
Maak vereisten voor algoritmes en AI-systemen onderdeel van contractvoorwaarden proceseigenaar behoeftesteller inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop
Pas vastgestelde interne beleidskaders toe en maak aantoonbaar dat deze zijn nageleefd bij het ontwikkelen, inkopen en gebruiken van algoritmes en AI-systemen. proceseigenaar beleidsmedewerker data-engineer data-scientist informatiebeheerder privacy-officer security-officer ethicus architect organisatieverantwoordelijkheden governance
Richt een wijzigingenproces in voor codewijzigingen projectleider proceseigenaar proceseigenaar data-scientist data-engineer security-officer ontwerp ontwerp ontwikkelen implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance
Richt gebruikersbeheer in projectleider proceseigenaar proceseigenaar informatiebeheerder security-officer organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance
Richt wachtwoordbeheer in projectleider security-officer organisatieverantwoordelijkheden technische-robuustheid-en-veiligheid governance
Voer een risico-analyse met de leverancier uit op het gebied van informatiebeveiliging bij een uitbestedingstraject projectleider informatiebeheerder security-officer proceseigenaar aanbestedingsjurist inkoopadviseur opdrachtnemer behoeftesteller ontwerp ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance publieke-inkoop
Pas het principe van security by design toe projectleider informatiebeheerder security-officer ontwerp dataverkenning-en-datapreparatie ontwikkelen verificatie-en-validatie implementatie monitoring-en-beheer technische-robuustheid-en-veiligheid governance transparantie menselijke-controle
Neem het kunnen uitvoeren van een audit over de vereiste op in contractvoorwaarden en de contractovereenkomst proceseigenaar behoeftesteller data-scientist privacy-officer security-officer inkoopadviseur contractbeheerder aanbestedingsjurist ontwerp ontwikkelen publieke-inkoop