Organisatie van duurzame toegang - risicomanagement

Introductie

Benoem de principes of standaarden waarop het risicomanagement binnen de organisatie is gebaseerd.

Wat verstaan we onder risicomanagement?

De ISO Guide 73:2009 definieert risicomanagement als: “De gecoördineerde activiteiten om een organisatie te sturen en te beheersen met betrekking tot risico’s“.

Er is sprake van een functioneel systeem voor risicomanagement als een organisatie een proces heeft geïmplementeerd waarmee:

De risico’s voor alle delen van de digitale collecties in beeld zijn en worden gebracht;
De risico’s begrepen en geprioriteerd zijn (rekening houdend met het belang van de collecties, beschikbare mensen en middelen);
Passende beheersmaatregelen worden gepland en uitgevoerd.

Informatie over deze risico’s kan worden afgeleid van verschillende bronnen, bijvoorbeeld uit het toegangssysteem dat foutmeldingen stuurt wanneer gebruikers gevraagde digitale objecten niet kunnen vinden.

Informatiebeveiliging

Een werkend beleid voor informatiebeveiliging zorgt ervoor dat een organisatie kan waarborgen dat de juiste informatie op het juiste moment door de juiste personen gebruikt kan worden.

Volgens NORA is informatiebeveiliging:

"Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen."

Het gaat hierbij om alle technische en organisatorische handelingen die gericht zijn op het garanderen van:

Vertrouwelijkheid/confidentialiteit
De informatie is alleen toegankelijk voor degenen die hiertoe ook daadwerkelijk geautoriseerd zijn (bijvoorbeeld door informatie te beschermen met wachtwoorden, authenticatie en encryptie);
Beschikbaarheid
De informatie is alleen beschikbaar waar en wanneer dat wettelijk mag (bijvoorbeeld alleen binnen de muren van de instelling (on-site) of onder een embargo (onbeschikbaar tot een aangegeven datum);
Integriteit
De informatie is correct en volledig (bijvoorbeeld door het checken van de identiteit van de producent).

Wetgeving die eisen stelt aan de beveiliging van de informatievoorziening is bijvoorbeeld de Algemene Verordening Gegevensbescherming (AVG) en de Archiefwet. Zie ook de uitwerking Preservation watch.

Welk risico lopen wij als we ons systeem voor risicomanagement niet omschrijven?

Digitale duurzaamheid gaat vooral over het identificeren en beheersen van risico’s. Digitaal materiaal is volledig afhankelijk van de technische omgeving. Als een organisatie zich niet bewust is van de risico’s, kan dat leiden tot schade of zelfs verlies van digitale objecten en collecties. Onvoldoende beveiliging van digitale systemen is misschien wel het grootste risico dat een digitaal archief kan lopen. Het corrupt of geïnfiltreerd raken van de digitale objecten met al dan niet kwaadwillende bedoelingen kan leiden tot grote technische problemen en kan de reputatie van de collectiehoudende instelling ernstig schaden.

Als een organisatie een proces implementeert waarmee de risico’s voor de digitale collecties geregeld in beeld worden gebracht, dan kunnen vervolgens adequate maatregelen worden genomen om schade aan de collecties te voorkomen.

Welke vragen kunnen wij onszelf stellen?

Heeft onze organisatie een risico-evaluatie uitgevoerd op alle collecties waar wij zorg voor dragen?
Zijn er risicomanagement procedures geïmplementeerd voor het duurzaam beheren van de digitale collectie?
Zijn de IT activiteiten betrokken in de risicomanagement procedures?
Hoe waarborgen wij dat digitale objecten veilig zijn tegen (on)opzettelijke wijzigingen?
Wat is de definitie van informatiebeveiliging in onze organisatie?
Bestaat er al beleid voor informatiebeveiliging? Zo ja, op welke manier kunnen wij hier het beste naar verwijzen in het duurzaamheidsbeleid?
Hebben wij een security officer in dienst of iemand met een verwant takenpakket?
Hoe zorgen we dat vertrouwelijke informatie niet kan worden ingezien door onbevoegden?

Hoe verwoorden andere instellingen risicomanagement?

Beeld en Geluid

Voor het managen van risico’s m.b.t. werking en instandhouding van het Digitaal Archief als geheel en in de onderdelen, heeft Beeld en Geluid een eerste inventarisatierapport uitgebracht op basis van de belangrijkste internationale standaarden op risicogebied en de eigen Kwaliteitscriteria Digitaal Archief. Hierin zijn de relevante beheersdomeinen aangewezen, waarvoor de potentiële risico’s in kaart moeten worden gebracht en gemanaged.

Organisatie: governance en levensvatbaarheid
Personeel
Financiële duurzaamheid
Contracten, licenties en aansprakelijkheid
Technische infrastructuur
Beveiligingsrisicomanagement
Instroomprocessen
Informatiemanagement
Preservering en opslag
Toegangsmanagement

In 2017 wordt een methodiek gepresenteerd voor de daadwerkelijke beheersing van de risico’s op deze gebieden. Een hoofdstuk Risicomanagement (H 13) maakt deel uit van het preserveringsbeleidsplan Digitale Preservering Beeld en Geluid.

Digital Preservation Sound and Vision: Policy, Standards and Procedures

Koninklijke Bibliotheek

Risicomanagement als proces

Tenslotte moet de informatieveiligheid in sommige gevallen ook verhoogd worden door bepaalde initiatieven tot een proces te maken. Zo is er momenteel al een uitwerking voor het opstellen van een dataclassificatie door middel waarvan inzicht wordt gegeven in het benodigde beveiligingsniveau voor data en de bijbehorende systemen. Ook zijn er sessies geweest om risico’s rondom het Digitaal Magazijn in kaart te brengen en deze in te schatten op basis van kans en impact. Voor informatieveiligheid is het van belang dat onderkende risico’s die hieruit naar voren komen ook daadwerkelijk geïmplementeerd worden op basis van de resultaten van de dataclassificatie en ook op regelmatige basis opnieuw worden geëvalueerd zodat aantoonbaar wordt dat gesignaleerde risico’s worden opgevolgd. Hetzelfde geldt voor de eerdergenoemde gedragscode voor het betrouwbaar omgaan met collectiedata. Deze moet niet alleen opgesteld worden maar ook controleerbaar worden gemaakt en geïmplementeerd binnen actuele processen zodat aantoonbaar is dat deze daadwerkelijk gehandhaafd wordt.

Koninklijke Bibliotheek

University of Nottingham Libraries

7.1.2.2 Security

Information Services or a suitable third party shall be responsible for the security of the information assets ingested into the archive, informed by the University of Nottingham’s Information Security Policy. This will include:

physical security - the physical infrastructure required to store and manage archival collections shall be protected from accidental or deliberate damage. This shall be achieved by way of restricted access to the physical machines and backup power supplies to those machines in the event of a failure;
systems security - measures to ensure that external attacks from unauthorised users, malicious code or other software attacks against the IT systems deployed for digital preservation shall be enforced. Password protected permissions, firewalls and anti-virus software shall be used in order to achieve this;
CRUD permissions - access permissions will be managed so that users and other systems have appropriate create, read, update, and delete (CRUD) permissions that comply with the legal and policy conditions placed upon each information asset. This shall be achieved by way of appropriate authentication services.

Digital Preservation Policy University of Nottingham Libraries (2015)

Deze wegwijzer is ontwikkeld binnen het Netwerk Digitaal Erfgoed (NDE) en wordt beheerd door de Rijksdienst voor het Cultureel Erfgoed. De illustraties zijn gemaakt door Jørgen Stamp voor digitalbevaring.dk, tenzij anders vermeld.

Zie ook

Artikelen

Hoort bij deze thema's

Specialist(en)

Marije Westerveen

Vragen, verbeteringen of opmerkingen?
U kunt op deze kennisbank reageren via het reactieformulier.