Eigenschap:Toelichting implicaties

"De datacenters van de datacentervoorziening Rijk voldoen aan de meest actuele normen: - de duurzaamheidsnorm EUE <1,5 (greengrid Methode) en techniekstandaarden minimaal tier level 3 (Tui en Tia 942). Datacenters volgen de marktontwikkelingen op de voet. "  +

Housing tot en met het niveau Staatsgeheim Confidentieel maakt standaard deel uit van de dienstverlening van de datacentervoorziening Rijk. Voor de niveaus Staatsgeheim Geheim en Staatsgeheim Zeer Geheim zijn de benodigde risicomaatregelen dusdanig dat deze zich minder lenen voor consolidatie. Bezien of binnen de datacentervoorziening Rijk een pluspakket op deze niveaus aangeboden kan worden. In ieder geval één van de datacenters moet het hoogste (informatie)beveiligingsniveau kunnen aanbieden.  +

Concreet betekent het dat de capaciteit van het datacenter op- en neerwaarts schaalbaar (modulair opgebouwd) moet zijn, variërend zowel met de behoefte aan vierkante meters, energie en dataopslag van bestaande en nieuwe deelnemende rijksorganisaties aan de realisatietrajecten als met de IT-ontwikkelingen. De minimale en maximale bovengrenzen van de schaalbaarheid zijn benoemd in de verwervingsdocumenten van betreffende realisatietrajecten.  +

* Het niveau van beschikbaarheid is in overleg met afnemers vastgesteld. * De ondersteunende ICT-voorzieningen voldoen aan het voor de diensten overeengekomen niveau van beschikbaarheid. * De continuïteit van voorzieningen wordt bewaakt; bij bedreiging van die continuïteit wordt alarm geslagen. Er is voorzien in de aanpak van calamiteiten. * De toegankelijkheid van openbare informatie en van informatie die relevant is voor vertrouwelijke- en zaakgerelateerde diensten, is gewaarborgd. Wanneer informatie verplaatst is, of niet meer (online) beschikbaar, worden bezoekers doorverwezen naar de plaats waar deze wel te vinden is. * De afnemer merkt niets van wijzigingen in het beheer van de dienst. * Wanneer een nieuwe versie van een standaard geïmplementeerd wordt, blijft de aanbieder de oude versie ondersteunen zolang als dat volgens afspraak nodig is . * De dienstverlener en de afnemers maken afspraken over de periode waarin overgegaan wordt op een nieuwe versie van de standaard.   +

* De criteria voor juistheid, volledigheid en tijdigheid zijn vastgesteld * De bij levering van de dienst betrokken systemen: ** controleren vanuit een systeemvreemde omgeving ingevoerde gegevens op juistheid, tijdigheid en volledigheid, voordat verdere verwerking plaatsvindt. ** controleren te versturen gegevens op juistheid, volledigheid en tijdigheid ** controleren ter verwerking aangeboden gegevens op juiste, volledig en tijdige verwerking ** vergelijken periodiek kritieke gegevens die in verschillende gegevensverzamelingen voorkomen met elkaar op consistentie. Dit geldt alleen zolang als de gegevens niet frequent en integraal worden gesynchroniseerd met de brongegevens. ** analyseren periodieke logbestanden teneinde beveiliginsincidenten of de juiste werking van het systeem vast te stellen.   +

Bij de afspraken rondom het beheer van identiteiten in RIdM moet de verantwoordelijkheid van het HRM-domein voor deze correcte registratie worden geborgd.  +

Het inzagerecht moet worden ingericht.  +

Centralisatie van het identitymanagement op rijksdienst en het accessmanagement (zowel centraal als decentraal) baseren op de centrale authentieke bron van id-gevens (RIdM).  +

Ten behoeve van de identificatie wordt aan de persoon bij de start van de werkrelatie een uniek persoonsnummer toegekend. Dit Rijks Identificerend Nummer (RIN) fungeert als betekenisloos koppelnummer en is onafhankelijk van een specifieke werkrelatie: personen met meerdere (volg tijdelijke) werkrelaties hebben slechts één RIN.  +

Het vastleggen, wijzigen en beheren van werkrelaties kan alleen maar in opdracht van het bevoegd gezag plaatsvinden en dus NIET anderen. Dit moet geborgd in het beheerproces van werkrelaties.  +

Bij vraagstukken m.b.t toegang tot overheidsinformatie en/of -systemen wordt een Privacy Impact Assessment (PIA) uitgevoerd. De maatregelen die uit dit assessment naar voren komen moeten rondom RIdM worden doorgevoerd.  +

Voor effectieve en efficiënte toepassing van het toegangsbeleid, maakt een RD-organisatie gebruik van een Identity & Access Management -systeem. Met een dergelijk systeem worden gegevens van RD-medewerkers en de van toepassing zijnde criteria, gekoppeld aan autorisatierollen. Een autorisatierol geeft recht op bepaald gebruik van bepaalde faciliteiten. Het IAM-systeem maakt in principe gebruik van gegevens afkomstig uit de zogenoemde Rijksdirectory.  +

- Rijksorganisaties gebruiken de generieke zoekdienst in applicaties voor het zoeken en vinden van relevante informatie. - Rijksorganisaties sluiten hun informatiebronnen aan op de generieke zoekdienst. - Informatiebronnen voldoen aantoonbaar aan de kwalitatieve voorwaarden voor aansluiten op DWR zoeken  +

* Voor de dienst is vastgesteld aan welke normen en standaarden deze moet voldoen. * De opzet van de dienst is in overeenstemming met deze normen en standaarden. Afwijkingen van de norm zijn geïdentificeerd. * Voor alle afwijkingen zijn voorzieningen getroffen.   +

*Bedrijfsprocessen van de organisatie zijn duidelijk beschreven. *Van ieder proces is een risico-analyse beschikbaar.   +

*Organisatie en processen zijn beschreven. *De informatiehuishouding conformeert aan geaccepteerde (open) standaarden.   +

*Bij de creatie of ontvangst van een document moet bekend zijn of een document een record wordt en welke regimes er gelden ten aanzien van openbaarheid, beveiliging, bewaring en vernietiging. *Er is een beschrijving van de bedrijfsprocessen, waarin is aangegeven welke documenten in dat proces worden ontvangen en gecreëerd. *Elk record wordt voorzien van een bewaartermijn zodat het na het verlopen van deze termijn kan worden vernietigd (archiefwet).   +

*De criteria voor permanente bewaring zijn duidelijk en kunnen worden toegepast. *Na overbrenging zijn de archiefbescheiden in principe openbaar. *Het zorgdragerschap gaat over op het de beheerder van de archiefbewaarplaats.   +

Voor de overheid zijn de bronregistraties leidend. De eigenaar van de bronregistratie is verantwoordelijk voor de kwaliteit van de informatieobjecten in deze registratie. Wanneer informatieobjecten in meerdere gelijksoortige registraties vookomen, gelden alleen de informatieobjecten in de bronregistratie als betrouwbaar. Om technische redenen (zoals in relatie tot performance, beveiliging of mobiliteit) kunnen kopieën nodig zijn. Als door fouten in techniek of beheer een gekopieerd record afwijkt van de vastlegging in de bron, wordt het record in de bron als juist aangemerkt.  +

*Er is generieke functionaliteit voor zoeken (DWR Zoeken), documentmanagement (DWR Docs), duurzame archivering (DWR Archief), werkstroomondersteuning (DWR Stukkenstroom), huisstijl *Als papieren documenten worden ontvangen, worden die gedigitaliseerd ten behoeve van de digitale behandeling in het bedrijfsproces. *Het zorgdragerschap over (en het beheer van) de informatie is geregeld.   +

*Vastleggen metagegevens conform standaard profielen voor metagegevens, i.c. toepassingsprofiel metagegevens rijksoverheid en metagegevensschema’s van de ministeries. *Vaststellen eventuele noodzaak tot aanvulling op standaard profielen en zo nodig de metagegevens aanvullen. *Waar mogelijk metagegevens automatisch genereerbaar maken.   +

*Er is een bedrijfsprocesgerelateerd classificatieschema *Eventueel aanvullende ordeningsstructuren zijn beschreven. *Schema's voor classificatie van de records opstellen n.a.v. de ordeningsdoelen. *Zorg dragen dat records volgens deze schema's worden geordend.   +

*Voor ieder record is een veiligheidsregime vastgesteld. *Autorisaties worden toegekend op basis van een rijksbrede identificatie en een rijksbreed gebruikersprofiel. *De RD-organisatie hanteert het normenkader van de BIR   +

*Ieder record is voorzien van metagegevens die context, inhoud, structuur en eventueel gedrag van het record vastleggen, evenals het beheer ervan door de tijd heen. *Het Toepassingsprofiel Metagegevens Rijksoverheid is geïmplementeerd. *Er is duidelijkheid over de redelijkheid van zoektermijnen *Er is toegankelijke zoekfunctionaliteit, bij voorkeur rijksbreed beschikbaar (bijvoorbeeld [[DWR Zoeken]])   +

*Van elk record is het openbaarheidsregime bekend. *De organisatie gaat uit van actieve openbaarmaking. *De organisatie stelt de openbare informatie zonder beperkende voorwaarden beschikbaar.   +

*De rijksdienst beschikt over een platform dat tijd-, plaats- en apparaat onafhankelijk werken alsmede interdepartementale samenwerking, op een veilige en vertrouwde manier mogelijk maakt. *De specificaties van processen, applicaties, systemen en de informatie die zij uitwisselen, zijn gebaseerd op landelijk en/of rijksbreed afgesproken open standaarden.   +

*De zorgdrager heeft een kwaliteitssysteem met toetsbare eisen voor beheer van records. *Het beheer van records voldoet aan de eisen van het kwaliteitssysteem. *Als toegankelijkheid van records wordt beperkt door wijziging of in onbruik raken van formaten en applicaties, zorgt de zorgdrager voor conversie of migratie van de records of voor aanpassen van de applicatie, met behoud van authenticiteit van de records.   +

De dienst: * is beschreven * de opzet is afgestemd met dienstverleners van verwante diensten om overlap en dubbel werk te voorkomen * sluit aan op de verwante diensten.  +

De dienst: * is zó beschreven dat de resultaten en voorwaarden ook in een andere context begrepen kunnen worden * maakt maximaal gebruik gemaakt van (open) standaarden om zo min mogelijk drempels op te werpen voor gebruik * kent een minimum aan gebruiksvoorwaarden * is aangemeld bij een landelijk serviceregister  +

* Op basis van de meta-informatie kan worden vastgesteld wat de oorspronkelijke reden is van het verzamelen van de informatie. * Het doel waarvoor informatie wordt uitgevraagd, is vastgelegd en getoetst door bevoegde instanties. * In samenwerkingsrelaties is vooraf bepaald wat het gemeenschappelijke doel van de samenwerking is en of alle deelnemers in het kader hiervan informatie mogen delen, bijvoorbeeld over personen.   +

Op Rijksdienst niveau moet worden vastgesteld welke type informatie en het daarmee annex zijnde berichtenverkeer in welk beheerregime vallen. De baseline informatiehuishouding benoemt de volgende risicoklassen: *Hoog risico: informatie is tijd- en plaatsonafhankelijk toegankelijk en betrouwbaar; *Middelmatig risico: informatie is tijd- en plaatsonafhankelijk toegankelijk. Er hoeven geen specifieke maatregelen getroffen te worden ten behoeve van de betrouwbaarheid van de informatie; *Licht risico: informatie is persoonsafhankelijk toegankelijk. Er hoeven geen specifieke maatregelen te worden getroffen voor de beheersing van de tijd- en plaatsonafhankelijke toegankelijkheid, noch voor de betrouwbaarheid van de informatie; *Geen risico: informatie hoeft niet formeel te worden beheerst. De mate van het risico op verminderde betrouwbaarheid (risicoklasse) is sterk bepalend voor de keuze van het beheerregime. Aannemelijk moet worden gemaakt dat de set van beheermaatregelen passend is voor de betreffende risicoklasse, zodat met enige zekerheid wordt geborgd dat de risico's beperkt blijven. De Baseline Informatiehuishouding benoemt daarvoor de volgende normen: *De verantwoordelijkheden die het lijnmanagement namens de minister draagt voor de duurzame toegankelijkheid en betrouwbaarheid van informatie zijn belegd en beschreven. *De inrichting van organisatie, processen, personeel en hulpmiddelen is kwantitatief en kwalitatief toereikend voor de borging van duurzame toegankelijkheid en betrouwbaarheid van informatie. *Voor verschillende aspecten van het informatiebeheer zijn binnen het ministerie of bestuursorgaan standaarden gedefinieerd en in gebruik. *Er is een - geprioriteerde - classificatie gemaakt van producten, processen, informatie en verantwoordelijkheden, waarbij rekening is gehouden met wet- en regelgeving. *Een - al of niet geautomatiseerd - systeem waarmee overheidsinformatie wordt beheerd, onder-steunt aantoonbaar de eisen van duurzame toegankelijkheid en betrouwbaarheid, op het niveau van het geldende beheerregime. *Bij het creëren en gebruiken van overheidsinformatie worden de kwaliteitseisen voor duurzame toegankelijkheid en betrouwbaarheid in acht genomen. *De duurzame toegankelijkheid en betrouwbaarheid van overheidsinformatie is tot het moment van verwijdering gewaarborgd, en de verwijdering verloopt conform vastgelegde procedures.  

*Bij ontwikkeling en invoering van voorzieningen door wordt altijd bezien of de functionaliteit via generieke infrastructuren beschikbaar is. *In dat geval dient daarvan gebruik te worden gemaakt, tenzij er aantoonbare noodzaak is om af te wijken. *Afwijken is altijd tijdelijk. In dat geval moet er ook een plan zijn dat voorziet in herstel van de situatie.   +

Eisen aan de beschikbaarheid van dienstverlening, vergen een daarop afgestemde inrichting van de organisatie. In het algemeen kan worden uitgegaan van de volgende minimale beschikbaarheid per kanaal: *Internet, e-mail, telefoon: Interactief gedurende reguliere kantoortijden en automatische beantwoording buiten reguliere kantoortijden. *Post en Persoonlijk contact (o.a. balie): Reguliere kantoortijden.  +

Het functiegebouw Rijksdienst levert de basis voor het definiëren van personele functies binnen RD-organisaties. Hiermee stimuleren RD-organisaties de flexibele inzetbaarheid van de eigen medewerkers, zowel binnen als buiten de eigen organisatie.  +

Er is onderscheid in gestructureerde gegevens, verder aangeduid als data, en semi-gestructureerde gegevens, verder aangeduid als documenten. Data wordt gestructureerd opgeslagen in databases, terwijl documenten worden opgeslagen in een Document Management Systeem of directory-file-systeem. Voor data is een stabiele opslagstructuur, afgeleid van de semantiek van de gegevens, het uitgangspunt voor de informatiehuishouding van de Rijksdienst. Soms is echter een procesgerelateerde opslagstructuur noodzakelijk, bijvoorbeeld om redenen van performance bij de verwerking van administratieve bulkprocessen. De opslag van gegevens in de procesgerelateerde structuur is in dat geval van tijdelijke aard. Naderhand moeten de gegevens (in de achtergrond) worden overgezet naar een stabiele structuur.  +

*Standaardisatie van de interne dienst en de aanverwante voorzieningen dragen in belangrijke mate bij aan de gewenste mate van efficiency. *Interne dienstverlening gebeurt zoveel mogelijk digitaal.   +

PM  +

*De Rijksdienst streeft naar ontwikkeling en gebruik van een gemeenschappelijk begrippenkader, dat recht doet aan de concerngedachte. Door het conformeren aan (de implicaties van) dit principe, wordt invulling gegeven aan opzet en onderhoud van het begrippenkader.   +

In het algemeen geldt de volgende voorkeursvolgorde voor de ontwikkeling en implementatie van functionaliteit: #landelijke bouwstenen #rijksbreed generieke bouwstenen #bedrijfsproces generieke bouwstenen #standaard software #maatwerk Om functionaliteit te kunnen hergebruiken, moeten herbruikbare functies (bouwstenen) uiteraard wel bekend zijn voor ontwikkel- en implementatieprojecten. Een werkend mechanisme voor onderhoud, beheer en publicatie van herbruikbare functionaliteit is in ontwikkeling (maart 2012). Hiervoor is een hergebruiktoets ontwikkeld die ook gebruikt zal worden bij de verdere inrichting van een generieke I-infrastructuur en een Rijksmarktplaats voor herbruikbare voorzieningen. Architecten van RD-organisaties hebben sowieso ook zelf een verantwoordelijkheid bij het vinden van relevante herbruikbare functionaliteit voor het oplossen van vraagstukken.  +

Het Bedrijfsfunctiemodel Rijksdienst vormt samen met de Modelarchitectuur Rijksdienst een belangrijke basis waarlangs RD-organisaties hun organisatie inrichten. Door uit te gaan van deze uniforme basis, wordt invulling gegeven aan de concerngedachte van de Rijksdienst.  +

Bij het wijzigen van autorisaties van een gebruiker dient vermeden te worden dat het authenticatiemiddel voor die gebruiker moet worden vervangen. Voorbeeld: een medewerker personeelszaken krijgt een functie als projectleider. Bij deze rolwisseling passen andere autorisaties maar de authenticatiemiddelen blijven dezelfde als in zijn vorige functie.  +

De implicaties voor de persoonlijke werkplek (PW) en de persoonlijke digitale werkruimte (PDW) komen deels overeen. Belangrijk verschil is dat de PW de fysieke drager of facilitator is van de PDW. De PW betreft in principe de hardware zoals bijv. een laptop, terwijl het bij de PDW om functionaliteit (software) gaat.  +

Flexibel inzetbare RD-medewerkers moet de mogelijkheid worden geboden om een eigen "persoonlijke digitale werkruimte" samen te stellen, die ‘any place, any time on any device’ oproepbaar is. Het toekomstbeeld is dat de RD-medewerker een vergoeding ontvangt en daarmee digitale services kan inkopen. De RD-organisaties bieden via een webomgeving, (beveiligde) toegang tot relevante functionaliteit (cloud).  +

*gebruik uniforme authenticatiemiddelen (bijvoorbeeld Rijkspas); *maak rijksbrede afspraken over de inrichting van de authenticatievoorziening; *minimaliseer aantal benodigde authenticatiemiddelen per medewerker (beperk digitale sleutelbos) *maak gedeelde inschatting van risico's en neem daar maatregelen tegen; *maak afspraken over single sign on (standaarden, aansluitvoorwaarden).   +

Allereerst moet een RD-organisatie maatregelen treffen om discontinuïteit in de dienstverlening te voorkomen dan wel zo vroeg mogelijk te signaleren. Eventuele discontinuïteit moet de RD-organisatie zo snel mogelijk kunnen herstellen.  +

Weldoordacht gebruik, eenduidig en liefst ook meervoudig, van een authenticatiemiddel is belangrijk bij het voorkomen van frauduleus gedrag. Combinaties van authenticatiemiddelen blijft mogelijk maar hergebruik van authenticatiemiddelen moet worden bevorderd.  +

Voor effectieve en efficiënte toepassing van het toegangsbeleid, maakt een RD-organisatie gebruik van een Identity & Access Management -systeem. Met een dergelijk systeem worden gegevens van RD-medewerkers en de van toepassing zijnde criteria, gekoppeld aan autorisatierollen. Een autorisatierol geeft recht op bepaald gebruik van bepaalde faciliteiten. Het IAM-systeem maakt in principe gebruik van gegevens afkomstig uit de zogenoemde Rijksdirectory.  +

Beschikbaarstelling kan gericht gebeuren, bijvoorbeeld naar aanleiding van speciale verzoeken door geïnteresseerden, of als onderdeel van specifieke dienstverlening, zoals het verstrekken van een vergunning. Ook kan het nodig zijn om informatie door middel van algemene publicatie via publieke media zoals internet of televisie beschikbaar te stellen.  +

De Rijksdienst streeft naar ontwikkeling en gebruik van een gemeenschappelijk toepassingsprofiel metadata, dat recht doet aan de concerngedachte. Er ontstaat daardoor een hiërarchie van toepassingsprofielen, van rijksbreed naar organisatie- en zelfs systeemspecifiek. Door toenemend (her)gebruik van (standaard) bouwstenen en informatie (o.a. basisregisters) zal de hiërarchie van profielen minder stijl worden, waardoor de uitwisselbaarheid van informatie binnen en door de Rijksdienst zal verbeteren.  +

*Gestructureerd (methodisch) organiseren en werken staan aan de basis van een effectieve taakuitvoering en verantwoording daarover. *Aanbestedingen voor inkoop en sourcing van diensten, altijd verantwoorden op basis van een businesscase.   +