Module opdracht
IT- Security
NAAM:
nr 123456789
NCOI HBO Bachelor Informatica
Docent: R. Kortsloot
Datum: 30-04-2021
, Voorwoord
Dit document betreft de moduleopdracht van NAAM, student binnen de opleiding Informatica Software
Engineering en Development van het NCOI. Als Technisch Applicatiebeheerder ben ik werkzaam
binnen de Organisatie, Locatie. Vanuit mijn huidige functie binnen de organisatie mocht ik deze
Bachelor opleiding doen waar deze IT- Security onderdeel van is.
Het document beschrijft de invulling en uitwerking voor deze moduleopdracht in de vorm van een
verbetervoorstel waarmee de organisatie een verbeterd niveau van beveiliging in het IT domein
realiseren.
Dit document is mede tot stand gekomen door input van mijn collega’s en begeleiding van NCOI
Docent, Robert Kortsloot.
Ik wil graag iedereen bedanken voor alle hulp en ondersteuning, wat er toe heeft kunnen leiden, voor
het schrijven van dit voorstel.
Tevens wil ik mijn gezin bedanken voor de support en steun in de vorm van tijd en rust om deze
opleiding te kunnen volgen.
NAAM: | nr 123456789 NCOI HBO Bachelor Informatica Docent: R. Kortsloot
, Samenvatting
Wanneer men kijkt naar het huidige beleid binnen de organisatie op het gebied van IT security en de
principes hierin dan is dit grotendeels gericht op een infrastructuur in eigen beheer en binnen het
eigen domein. Hierbij wordt een duidelijke verwijzing gedaan naar de NEN7510, NEN7512, NEN7513
en de AVG waarbij de betreffende wetten en normen strikt worden gehanteerd.
Hierbij kunnen de uitgangspunten worden onderverdeeld in onderstaande hoofdpunten:
Leiderschap en beleid
Medewerkers
Middelen en apparatuur
Continuïteit
Authentificatie, autorisatie en identificatie
Borging
Het beleidsproces binnen de Organisatie XXXX is een continu en cyclisch proces gebaseerd op de
Lean-methodologie.
Echter zijn de minimale vereisten wanneer men kijkt naar bijvoorbeeld de “technische” richtlijnen met
betrekking tot IT Security niet of nauwelijks uitgewerkt. Uitgaande van ieders ‘gezond verstand’ wordt
een nieuwe inrichting of implementatie per project bepaald en zijn hier geen standaarden vooraf
bepaald of vastgelegd. De hoofdlijnen zijn wel gedocumenteerd volgens de normenkaders en wetten
maar deze bevatten weinig tot geen inhoudelijke details. Dit zorgt voor grote diversiteit en
versnippering op het gebied van Security inrichting binnen het applicatielandschap. Tevens is het
beleid niet opgezet met oogpunt op toekomstige ontwikkelingen en inrichtingen zoals bijvoorbeeld
Data in de Cloud en ketensamenwerking. Wanneer een implementatie data in de Cloud “afdwingt” in
verband met aanlevering en\ of ketensamenwerking neemt dit veel onnodig tijd in beslag. Er zal
onderzoek gedaan moeten worden aan welke minimale eisen de implementatie zal moeten voldoen
en hoe dit ingericht zal moeten gaan worden.
De Risicoanalyse methode is hierbij weer wel vrij goed ingericht en wordt ook strikt gehanteerd bij
ieder project. Deze methode bevat onderstaande stappen:
1. Analyse van het object van de risicoanalyse (bedrijfsproces, informatiesysteem of informatie)
2. Classificatie van het object van de risicoanalyse
3. Dreigingsanalyse
4. Bepalen van de algemene en specifieke beveiligingsmaatregelen.
De betreffende methode is van goede opzet welke ook bij nieuwe ontwikkelingen een goede analyse
kan bieden. Dit ook vanwege de privacy gevoelige informatie waarmee binnen zorg wordt verwerkt.
Om het beleid en de beveiligingsprincipes te verbeteren binnen het BEDRIJF en de versnippering te
reduceren zullen de richtlijnen dieper en inhoudelijker uitgewerkt moeten worden. Tevens zal meer
inhoudelijk richtlijnen moeten worden gedocumenteerd. Hierdoor zal enige verwarring en discussie
over een inrichting ook kunnen worden voorkomen.
Het huidige beleid zal mede op enkele punten moeten aangepast\ uitgebreid om ook bij nieuwe
ontwikkelingen te kunnen blijven voldoen aan de vereisten.
Om de principes beter in te kunnen vullen en het beleid te verbeteren kan bijvoorbeeld een standaard
PVE worden opgezet met hier de minimale beveiligingseisen in verwerkt op gebied van Privacy en
security. Wanneer de richtlijnen en eisen goed zijn gedocumenteerd en uitgewerkt zal het beleid en
het niveau van beveiliging naar een hoger niveau kunnen worden getild.
NAAM: | nr 123456789 NCOI HBO Bachelor Informatica Docent: R. Kortsloot
IT- Security
NAAM:
nr 123456789
NCOI HBO Bachelor Informatica
Docent: R. Kortsloot
Datum: 30-04-2021
, Voorwoord
Dit document betreft de moduleopdracht van NAAM, student binnen de opleiding Informatica Software
Engineering en Development van het NCOI. Als Technisch Applicatiebeheerder ben ik werkzaam
binnen de Organisatie, Locatie. Vanuit mijn huidige functie binnen de organisatie mocht ik deze
Bachelor opleiding doen waar deze IT- Security onderdeel van is.
Het document beschrijft de invulling en uitwerking voor deze moduleopdracht in de vorm van een
verbetervoorstel waarmee de organisatie een verbeterd niveau van beveiliging in het IT domein
realiseren.
Dit document is mede tot stand gekomen door input van mijn collega’s en begeleiding van NCOI
Docent, Robert Kortsloot.
Ik wil graag iedereen bedanken voor alle hulp en ondersteuning, wat er toe heeft kunnen leiden, voor
het schrijven van dit voorstel.
Tevens wil ik mijn gezin bedanken voor de support en steun in de vorm van tijd en rust om deze
opleiding te kunnen volgen.
NAAM: | nr 123456789 NCOI HBO Bachelor Informatica Docent: R. Kortsloot
, Samenvatting
Wanneer men kijkt naar het huidige beleid binnen de organisatie op het gebied van IT security en de
principes hierin dan is dit grotendeels gericht op een infrastructuur in eigen beheer en binnen het
eigen domein. Hierbij wordt een duidelijke verwijzing gedaan naar de NEN7510, NEN7512, NEN7513
en de AVG waarbij de betreffende wetten en normen strikt worden gehanteerd.
Hierbij kunnen de uitgangspunten worden onderverdeeld in onderstaande hoofdpunten:
Leiderschap en beleid
Medewerkers
Middelen en apparatuur
Continuïteit
Authentificatie, autorisatie en identificatie
Borging
Het beleidsproces binnen de Organisatie XXXX is een continu en cyclisch proces gebaseerd op de
Lean-methodologie.
Echter zijn de minimale vereisten wanneer men kijkt naar bijvoorbeeld de “technische” richtlijnen met
betrekking tot IT Security niet of nauwelijks uitgewerkt. Uitgaande van ieders ‘gezond verstand’ wordt
een nieuwe inrichting of implementatie per project bepaald en zijn hier geen standaarden vooraf
bepaald of vastgelegd. De hoofdlijnen zijn wel gedocumenteerd volgens de normenkaders en wetten
maar deze bevatten weinig tot geen inhoudelijke details. Dit zorgt voor grote diversiteit en
versnippering op het gebied van Security inrichting binnen het applicatielandschap. Tevens is het
beleid niet opgezet met oogpunt op toekomstige ontwikkelingen en inrichtingen zoals bijvoorbeeld
Data in de Cloud en ketensamenwerking. Wanneer een implementatie data in de Cloud “afdwingt” in
verband met aanlevering en\ of ketensamenwerking neemt dit veel onnodig tijd in beslag. Er zal
onderzoek gedaan moeten worden aan welke minimale eisen de implementatie zal moeten voldoen
en hoe dit ingericht zal moeten gaan worden.
De Risicoanalyse methode is hierbij weer wel vrij goed ingericht en wordt ook strikt gehanteerd bij
ieder project. Deze methode bevat onderstaande stappen:
1. Analyse van het object van de risicoanalyse (bedrijfsproces, informatiesysteem of informatie)
2. Classificatie van het object van de risicoanalyse
3. Dreigingsanalyse
4. Bepalen van de algemene en specifieke beveiligingsmaatregelen.
De betreffende methode is van goede opzet welke ook bij nieuwe ontwikkelingen een goede analyse
kan bieden. Dit ook vanwege de privacy gevoelige informatie waarmee binnen zorg wordt verwerkt.
Om het beleid en de beveiligingsprincipes te verbeteren binnen het BEDRIJF en de versnippering te
reduceren zullen de richtlijnen dieper en inhoudelijker uitgewerkt moeten worden. Tevens zal meer
inhoudelijk richtlijnen moeten worden gedocumenteerd. Hierdoor zal enige verwarring en discussie
over een inrichting ook kunnen worden voorkomen.
Het huidige beleid zal mede op enkele punten moeten aangepast\ uitgebreid om ook bij nieuwe
ontwikkelingen te kunnen blijven voldoen aan de vereisten.
Om de principes beter in te kunnen vullen en het beleid te verbeteren kan bijvoorbeeld een standaard
PVE worden opgezet met hier de minimale beveiligingseisen in verwerkt op gebied van Privacy en
security. Wanneer de richtlijnen en eisen goed zijn gedocumenteerd en uitgewerkt zal het beleid en
het niveau van beveiliging naar een hoger niveau kunnen worden getild.
NAAM: | nr 123456789 NCOI HBO Bachelor Informatica Docent: R. Kortsloot
