1. Bart Ballaux Één risicoclassificatie
Jermaine Dol
voor informatie
Het rotterdamse model
Jeroen van Oss
13-6-2012
2. Opzet van de workshop
1. Presentatie van het risicomodel (Jeroen)
2. Workshop: test van het risicomodel met een
proceseigenaar (Bart en Jermaine)
3. Discussie:
a. Zijn de vragen duidelijk, ook voor proceseigenaren?
b. Leveren zij bruikbare kwaliteitsindicatoren op?
c. Is risicoclassificatie in informatiebeheer op deze manier
zinvol, werkbaar, verantwoord?
2 13-6-2012
3. Gewetensvraag: mag het een onsje minder?
Kwaliteit informatiebeheer bij de overheid:
a. Moet altijd op hetzelfde (wettelijke) niveau zijn
b. Mag variabel zijn, afhankelijk van de eisen van de business
3 13-6-2012
4. Risicodenken in informatiebeheer wint steeds meer veld
Baseline informatiehuishouding
gemeenten, norm 3:
“Er zijn binnen de gemeente of bestuursorgaan
risicoklassen voor informatie gedefinieerd, met voor
iedere klasse het vereiste beheerregime ten
behoeve van duurzame toegankelijkheid en
betrouwbaarheid van informatie”
4 13-6-2012
5. Uitgangspunten rotterdams risicomodel informatiebeheer
Voldoen aan de kwaliteitseisen van de ‘business’ en de
maatschappij
Tegen zo laag mogelijke beheerlasten
Integratie informatiebeheer in ieder proces
Proceseigenaar is verantwoordelijk
Risicomodel is concernkader
Onderdeel van de rotterdamse
informatiearchitectuur
Verplichte toepassing bij iedere
(her)inrichting van een proces
5 13-6-2012
6. Aansluiting bij risicoclassificatie informatiebeveiliging
Rotterdamse standaard, gebaseerd op kwaliteitsnormen:
Beschikbaarheid (=continuïteit van de ICT-diensten)
Integriteit (=bescherming tegen onbevoegde mutatie/wissen)
Vertrouwelijkheid (=bescherming tegen onbevoegde raadpleging)
6 13-6-2012
7. Goed te matchen met kwaliteitsnormen informatiebeheer
Informatiebeveiliging
Records management
(NEN ISO 15489) Integer Vindbaar
Authentiek Integer
Beschikbaar
Raadpleegbaar
Interpreteer-
baar
Vertrouwelijk
7 13-6-2012
8. Streven in Rotterdam: één risicoclassificatie voor informatie
Invalshoeken:
Informatiebeveiliging
Open data
Records management
8 13-6-2012
10. Opzet van het rotterdams risicomodel informatiebeheer
1. Vragen risicomodel invullen per overheidsproces
2. Vereist kwaliteitsniveau per norm
3. Risicoklasse I-IV
4. Passend informatiebeheerregime
10 13-6-2012
11. 1. Opbouw vragenlijst risicomodel
5. Uitkomst
Stap 5: combinatie van eisen van vorige vier
stappen: voorstel i.v.m. beheer van proces Risicoklasse
& informatie
4. Procesinformatie
Stap 4: identificatie van Document‐ & workflow
informatiestromen: eisen aan
gebruik van informatie Types & stadia
3. Procesverloop
Stap 3: identificatie van spelers:
Spelers & rollen – gebruikers eisen aan proces & gebruik van
informatie
2. Procescontext
Wet‐ en regelgeving Stap 2: identificatie van
regels: eisen aan proces &
Algemeen & specifiek informatie
1. Proceswaardering
Classificatie van proces Stap 1: identificatie van proces (op
basis van eigenschappen/
Types processen eisen van proces)
11 13-6-2012
12. 2. Kwaliteitsnormen en -niveau’s
Authenticiteit en integriteit
1. Niet zeker
2. Beschermd
3. Hoog
4. Absoluut
Vindbaarheid
1. Mogelijk niet vindbaar
2. Vrijwel zeker vindbaar
3. Absoluut vindbaar
Raadpleegbaarheid
1. Voor korte termijn (< 1 jaar)
2. Voor middellange termijn (1 - 7 jaar)
3. Voor lange termijn (> 7 jaar)
Interpreteerbaarheid
1. Voor direct betrokkenen
2. Voor bredere kring binnen de organisatie
3. Voor belanghebbenden buiten de organisatie en door de tijd heen
4. Voor raadplegers op grote afstand en tijd
12 13-6-2012
15. Nu is het woord aan jullie!
Doorlopen van de vragenlijst met een ‘proceseigenaar’
Jullie kunnen met groene en rode kaarten aangeven of:
de vraag zinvol en duidelijk is
Je het eens bent met het antwoord
Discussie op basis van de groene en rode kaarten
15 13-6-2012