Risicomanagement

Benoem de principes of standaarden waarop het risicomanagement binnen de organisatie is gebaseerd.

 


Wat verstaan we onder risicomanagement? 

De ISO Guide 73:2009 definieert risicomanagement als: “De gecoördineerde activiteiten om een organisatie te sturen en te beheersen met betrekking tot risico’s“.

Er is sprake van een functioneel systeem voor risicomanagement als een organisatie een proces heeft geïmplementeerd waarmee:

  • De risico’s voor alle delen van de digitale collecties in beeld zijn en worden gebracht;
  • De risico’s begrepen en geprioriteerd zijn (rekening houdend met het belang van de collecties, beschikbare mensen en middelen);
  • Passende beheersmaatregelen worden gepland en uitgevoerd.

Informatie over deze risico’s kan worden afgeleid van verschillende bronnen, bijvoorbeeld uit het toegangssysteem dat foutmeldingen stuurt wanneer gebruikers gevraagde digitale objecten niet kunnen vinden. 

Informatiebeveiliging

Een werkend beleid voor informatiebeveiliging zorgt ervoor dat een organisatie kan waarborgen dat de juiste informatie op het juiste moment door de juiste personen gebruikt kan worden.

Volgens NORA is informatiebeveiliging: “Het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen”.

Het gaat hierbij om alle technische en organisatorische handelingen die gericht zijn op het garanderen van:

  • Vertrouwelijkheid/confidentialiteit 
    De informatie is alleen toegankelijk voor degenen die hiertoe ook daadwerkelijk geautoriseerd zijn (bijvoorbeeld door informatie te beschermen met wachtwoorden, authenticatie en encryptie);
  • Beschikbaarheid
    De informatie is alleen beschikbaar waar en wanneer dat wettelijk mag (bijvoorbeeld alleen binnen de muren van de instelling (on-site) of onder een embargo (onbeschikbaar tot een aangegeven datum);
  • Integriteit
    De informatie is correct en volledig (bijvoorbeeld door het checken van de identiteit van de producent).

Wetgeving die eisen stelt aan de beveiliging van de informatievoorziening is bijvoorbeeld de Algemene Verordening Gegevensbescherming (AVG) en de Archiefwet. Zie ook de uitwerking 'Preservation watch'.

 


Welk risico lopen wij als we ons systeem voor risicomanagement niet omschrijven? 

Digitale duurzaamheid gaat vooral over het identificeren en beheersen van risico’s. Digitaal materiaal is volledig afhankelijk van de technische omgeving. Als een organisatie zich niet bewust is van de risico’s, kan dat leiden tot schade of zelfs verlies van digitale objecten en collecties. Onvoldoende beveiliging van digitale systemen is misschien wel het grootste risico dat een digitaal archief kan lopen. Het corrupt of geïnfiltreerd raken van de digitale objecten met al dan niet kwaadwillende bedoelingen kan leiden tot grote technische problemen en kan de reputatie van de collectiehoudende instelling ernstig schaden.

Als een organisatie een proces implementeert waarmee de risico’s voor de digitale collecties geregeld in beeld worden gebracht, dan kunnen vervolgens adequate maatregelen worden genomen om schade aan de collecties te voorkomen.

 


Welke vragen kunnen wij onszelf stellen?

  • Heeft onze organisatie een risico-evaluatie uitgevoerd op alle collecties waar wij zorg voor dragen?
  • Zijn er risicomanagement procedures geïmplementeerd voor het duurzaam beheren van de digitale collectie?
  • Zijn de IT activiteiten betrokken in de risicomanagement procedures?
  • Hoe waarborgen wij dat digitale objecten veilig zijn tegen (on)opzettelijke wijzigingen?
  • Wat is de definitie van informatiebeveiliging in onze organisatie?
  • Bestaat er al beleid voor informatiebeveiliging? Zo ja, op welke manier kunnen wij hier het beste naar verwijzen in het duurzaamheidsbeleid?
  • Hebben wij een security officer in dienst of iemand met een verwant takenpakket?
  • Hoe zorgen we dat vertrouwelijke informatie niet kan worden ingezien door onbevoegden?
hoe verwoorden andere instellingen 'Risicomanagement'

Beeld en Geluid


Voor het managen van risico’s m.b.t. werking en instandhouding van het Digitaal Archief als geheel en in de onderdelen, heeft Beeld en Geluid een eerste inventarisatierapport uitgebracht op basis van de belangrijkste internationale standaarden op risicogebied en de eigen Kwaliteitscriteria Digitaal Archief. Hierin zijn de relevante beheersdomeinen aangewezen, waarvoor de potentiële risico’s in kaart moeten worden gebracht en gemanaged.

  1. Organisatie: governance en levensvatbaarheid
  2. Personeel
  3. Financiële duurzaamheid
  4. Contracten, licenties en aansprakelijkheid
  5. Technische infrastructuur
  6. Beveiligingsrisicomanagement
  7. Instroomprocessen
  8. Informatiemanagement
  9. Preservering en opslag
  10. 1oegangsmanagement

In 2017 wordt een methodiek gepresenteerd voor de daadwerkelijke beheersing van de risico’s op deze gebieden. Een hoofdstuk Risicomanagement (H 13) maakt deel uit van het preserveringsbeleidsplan Digitale Preservering Beeld en Geluid.

 

Het NA anticipeert op alle technologische en organisatorische risico’s om duurzame toegankelijkheid van haar collectie te waarborgen. Om deze risico’s met de juiste maatregelen het hoofd te bieden, heeft het NA een policy opgesteld.

Digital preservation at the State and University Library is based on the principles of risk management. The library continuously manages and updates its digital preservation risk analysis in accordance with existing legislation and international standards.

7.1.2.2 Security

Information Services or a suitable third party shall be responsible for the security of the information assets ingested into the archive, informed by the University of Nottingham’s Information Security Policy. This will include:

  • physical security – the physical infrastructure required to store and manage archival collections shall be protected from accidental or deliberate damage. This shall be achieved by way of restricted access to the physical machines and backup power supplies to those machines in the event of a failure;
  • systems security – measures to ensure that external attacks from unauthorised users, malicious code or other software attacks against the IT systems deployed for digital preservation shall be enforced. Password protected permissions, firewalls and anti-virus software shall be used in order to achieve this;
  • CRUD permissions – access permissions will be managed so that users and other systems have appropriate create, read, update, and delete (CRUD) permissions that comply with the legal and policy conditions placed upon each information asset. This shall be achieved by way of appropriate authentication services.