20080325 - 801 - Scriptie - definitief - Vurore

More documents

Recommendations

Info

2.6.2 BetrokkenenHet is belangrijk dat bij het opstellen van een SLA de juiste personen van beideorganisaties aan tafel zitten. Dit omdat een gebruikersorganisatie een SLA wilhebben die toereikend is en de IT-serviceorganisatie een SLA wil hebben die(financieel) haalbaar is. Meestal worden SLA’s opgesteld in eensamenwerkingsverband tussen de Informatiemanager en de Service Level Manager.De Informatiemanager vertegenwoordigt de gebruikersorganisatie en heeft kennisvan de bedrijfsdoelstellingen en de wensen van de gebruikers. Hij opereert op hetsnijvlak van IT-expert en IT-gebruiker. De Service Level Manager vertegenwoordigt deIT-serviceorganisatie en houdt rekening met het beleid en de mogelijkheden van zijnorganisatie.2.7 Wat houdt beveiliging in vanuit IV-dienstverleningsperspectief?Uit de literatuur komt naar voren dat er in de afgelopen tijd een toenemendebehoefte waarneembaar is die betrekking heeft op het beschikbaar zijn en hetverstrekken van informatie. Dit uit zich vervolgens in een toename van de informatieuitwisselingtussen enerzijds de Rijksoverheid en anderzijds de burgers en bedrijven.Door gebruikersorganisaties binnen de Rijksoverheid worden steeds meer dienstenuitbesteed aan IT-serviceorganisaties. Bij deze uitbesteding blijft degebruikersorganisatie zelf verantwoordelijk voor die diensten. Daarom stelt zij eisenaan de IT-serviceorganisaties ten aanzien van de informatiebeveiliging. In dezeparagraaf wordt ingegaan op het ruimere begrip zoals dat bij de Rijksoverheid wordtgehanteerd, met als doel tot een goede begripsafbakening te komen.Beveiliging bestaat uit een aantal verschillende disciplines. Onder ‘integralebeveiliging’ 10 wordt verstaan: informatiebeveiliging, fysieke beveiliging en personelebeveiliging 11 . Bij informatiebeveiliging gaat het om betrouwbaarheidseisen. Bijfysieke beveiliging gaat het om veiligheidscriteria. En bij personele beveiliging gaathet om de wettelijke arbo-eisen.Om te komen tot een evenwichtig beveiligingspakket in een organisatie is hetbelangrijk de drie disciplines van beveiliging in samenhang te beschouwen. Dezevakgebieden liggen dicht tegen elkaar aan en overlappen elkaar gedeeltelijk.Voor het stellen van eisen aan IT-serviceorganisaties heeft met nameinformatiebeveiliging een directe betekenis, de eisen van de andere disciplineszullen verder niet worden behandeld.De drie beveiligingsaspecten resulteren in een stelsel van maatregelen, die zijnafgestemd op de te beschermen belangen. Binnen organisaties moetenrisicoafwegingen worden gemaakt door het onderkennen van afhankelijkheden enbedreigingen. Hierbij moet rekening worden gehouden met de geldende wet- enregelgeving.Binnen de Rijksoverheid zijn diverse voorschriften van kracht die ingaan opinformatiebeveiliging, waaronder bijvoorbeeld het Voorschrift InformatiebeveiligingRijksdienst 2007 (VIR 2007) 12 en het ‘Veiligheidsvoorschrift Rijksdienst 2005’ 13 .10 Douwe P. de Jong RSE, Integrale beveiliging, Dikke muren en firewalls, 200311 W. Barnhoorn c.s. - Outsourcing (2001)12 Besluit Voorschrift Informatiebeveiliging Rijksdienst (2007)Afstudeerscriptie team <strong>801</strong> blz. 18 van 49
Daarnaast worden binnen de Rijksoverheid diverse ‘best practices’ en anderevormen van wet- of regelgeving gehanteerd die betrekking hebben opinformatiebeveiliging: de Code voor Informatiebeveiliging en ITIL SecurityManagement. De genoemde voorschriften en ‘best practices’ worden nog korttoegelicht.Voorschrift Informatiebeveiliging Rijksdienst 2007De essentie van het VIR 2007 is ervoor te zorgen dat de overheid op eenbetrouwbare manier omgaat met gegevens van burgers en bedrijfsleven.De overheid is daarbij afhankelijk van informatietechnologie.Voor de beschikbaarheid van geautomatiseerde of handmatige informatiesystemenworden meestal Service Level Agreements (SLA) - of vergelijkbare overeenkomstenmet een andere benaming - afgesloten tussen de eigenaar van hetinformatiesysteem (uiteindelijk lijnmanagement) en de IT dienstenleverancier.Beveiliging is daarin een onderdeel van de afspraken.Veiligheidsvoorschrift Rijksdienst 2005Het ‘Veiligheidsvoorschrift Rijksdienst 2005’ geeft aan dat de secretaris-generaalverantwoordelijk is voor de integrale beveiliging van de organisatie, demedewerkers, het materieel, de informatiesystemen, de gebouwen en de overigeobjecten en de inrichting en de werking van de beveiligingsorganisatie.De secretaris-generaal wijst een beveiligingsambtenaar aan die deverantwoordelijkheid voor integrale beveiliging krijgt overgedragen.In het voorschrift is opgenomen dat onder integrale beveiliging wordt verstaan: eenafgewogen en consistente toepassing van beveiligingsmaatregelen in een breedscala van toepassingsgebieden. Het bedrijfsproces dient centraal te staan.Onder integrale beveiliging wordt niet verstaan de bedrijfsveiligheid.Er zijn verschillende ‘best practices’ die naast informatiebeveiliging in het algemeen,specifiek ingaan op SLA’s:In de Code voor Informatiebeveiliging 14 wordt op contractniveau - niet op hetgedetailleerde niveau van de SLA - ingegaan op beveiligingseisen die behoren bijuitbesteding. Om de bijbehorende beveiliging te regelen wordt een aantalmaatregelen geadviseerd, bijvoorbeeld op het gebied van fysiek- en logischtoegangsbeheer of het recht om te mogen auditen.ITIL is een ‘best practice’ voor IT-beheerprocessen. ITIL beoogt meer grip te krijgen opde kwaliteit van de IT-dienstverlening. Het basisprincipe van ITIL is, dat de ITserviceorganisaties diensten leveren aan de afnemers (gebruikersorganisaties) tegenwat heet ‘gerechtvaardigde kosten’. Het ITIL proces Security Management 15 geeftde structurele inpassing van beveiliging in de IT-beheerorganisatie en moet ervoorzorgen dat de dienstverlening blijft voldoen aan de met de klant afgesproken eisenop het gebied van de informatiebeveiliging.De SLA valt onder de verantwoordelijkheid van het Service Level Management enfungeert als stuurinstrument voor de ITIL-processen.In bijlage 2 zijn de bovengenoemde voorschriften en ‘best practices’ naderuitgewerkt terug te vinden.13 Veiligheidsvoorschrift Rijksdienst 200514 Code voor Informatiebeveiliging (NEN-ISO-IEC 17799:2005)15 J. Bon, G. Kemmerling en D. Pondman, IT servicemanagement, an introduction ITSMF (2002)Afstudeerscriptie team <strong>801</strong> blz. 19 van 49
Page 5 and 6: InhoudsopgaveColofon ______________
Page 7 and 8: De relatie tussen de gebruikersorga
Page 9 and 10: OnderzoeksmethodenDe methode van on
Page 11 and 12: 2 Theoretisch kader SLA’s en beve
Page 13 and 14: 2.2.2 Kenmerken/typering van de IT-
Page 15: Onderstaande figuur geeft de indeli
Page 20 and 21: 3 Uitkomsten praktijkonderzoek3.1 I
Page 22 and 23: Dit is aangegeven als vanzelfspreke
Page 24 and 25: 3.5 Inhoud van een SLA (beveiliging
Page 26 and 27: Er zijn ook enkele verschillen te c
Page 28 and 29: 5 Conclusies en aanbevelingenDit ho
Page 30 and 31: LiteratuurlijstDe opgenomen nummers
Page 32 and 33: 2.2.3 Onderwerp van overeenkomstAan
Page 34 and 35: 2.9 Aanpassingen van de SLA2.9.1 Wi
Page 36 and 37: 2.11.4 GeschillenBeschrijving van h
Page 38 and 39: VIR 2007 en beveiligingBij systemen
Page 40 and 41: In ITIL wordt het perspectief gekoz
Page 42 and 43: Bijlage 3 - gehanteerde gestructure
Page 44 and 45: Inhoud specifiek m.b.t. beveiliging
Page 46 and 47: Inhoud van eenSLA (beveiliging)Begr
Page 48 and 49: Samenstellen SLAHet gebruik maken v

20080325 - 801 - Scriptie - definitief - Vurore

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?