Skip to main content

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?


Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Zo zorgt het voor een goede balans tussen technologie, processen en organisatiestructuur. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie van de BIO-maatregelen.

Download hier een pdf van deze blog

Wat is het 9-vlaksmodel?

Het 9-vlaksmodel, een bekend begrip in de wereld van informatietechnologie en informatiemanagement, is een handig hulpmiddel voor het begrijpen en organiseren van IT-processen. Het model werd in de jaren ’90 bedacht door Rik Maes, een professor aan de Universiteit van Amsterdam, toen hij en zijn collega’s op zoek waren naar een manier om de complexiteit van informatiemanagement in organisaties beter te begrijpen. Het model is in de loop der jaren verder ontwikkeld en wordt nu breed gebruikt als hulpmiddel in zowel de academische wereld als in de industrie.

Het model biedt waardevolle ondersteuning aan organisaties bij het beheren van hun informatiesystemen en bijbehorende processen. Het zorgt voor een goede balans tussen technologie, processen en de organisatiestructuur. Dankzij de duidelijke structuur en de alomvattende (holistische) benadering is dit model geschikt voor het beheer van (complexe) IT-omgevingen. Het 9-vlaksmodel kijkt niet alleen naar de technologische behoeften van een organisatie, maar richt zich ook op hoe deze technologie past binnen de bredere bedrijfsprocessen, strategieën en de menselijke kant van de organisatie. Het model heeft zijn waarde bewezen in diverse sectoren, waaronder overheid, onderwijs, gezondheidszorg en bedrijfsleven, waar het model met succes wordt toegepast.

Hoe ziet het 9-vlaksmodel eruit?

Zoals de naam al aangeeft, bestaat het 9-vlaksmodel uit negen vlakken verdeeld in drie rijen en drie kolommen. Elk vak vertegenwoordigt een specifiek aspect van informatiemanagement. De rijen (lagen) geven aan op welk niveau activiteiten binnen een organisatie plaatsvinden: strategisch, tactisch, of operationeel. Deze niveaus worden ook wel aangeduid als richten, inrichten, en verrichten. In de kolommen worden de verschillende betrokkenen en processen (technologie, proces en organisatie) binnen de informatiemanagementorganisatie geïdentificeerd en met elkaar in verband gebracht.

Koppeling 9-vlaksmodel en BIO

De Baseline Informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Het gebruik van het 9-vlaksmodel als leidraad bij de implementatie van de BIO kan een effectieve manier zijn om een gestructureerde en integrale aanpak te hanteren. Hieronder vind je een gedetailleerde uitleg van elke laag en kolom en hun relatie met BIO-maatregelen.

De drie lagen en kolommen in relatie tot de BIO

  1. Strategische laag: Hier worden lange- en middellange termijn doelen voor IT en informatiebeveiliging vastgesteld. Hierbij gaat het om vragen als ‘wat zijn onze lange termijn IT-doelstellingen?’ en ‘hoe kan IT bijdragen aan het behalen van de algemene organisatiedoelen?’. Belangrijke activiteiten zijn het definiëren van de IT-strategie, het uitstippelen van de IT-roadmap en het waarborgen van afstemming tussen IT-doelen en bedrijfsdoelen.

Vanuit het perspectief van de BIO:

  • Creëer bewustwording en commitment op het hoogste niveau van de organisatie. Het is van cruciaal belang dat het leiderschap de waarde en noodzaak van informatiebeveiliging volgens de BIO-normen begrijpt. Informatiebeveiliging is binnen de BIO ook een verantwoordelijkheid van de proceseigenaar. Lees ook onze eerdere blogs ‘Hoe krijg je informatiebeveiliging op de bestuurstafel’ en ‘Verantwoordelijkheden van de proceseigenaar binnen de BIO’.
  • Integreer de BIO (informatiebeveiliging) in bredere strategische doelen en beleid van de organisatie. Dit betreft de afstemming van beveiligingsdoelstellingen met de algemene organisatiedoelstellingen en -beleid.
  1. Tactische laag: De strategische doelen worden vertaald naar concrete acties en middellange termijn plannen. Deze laag behandelt de ontwikkeling van beleid, procedures, en standaarden die nodig zijn om de strategische doelen te bereiken. Belangrijke activiteiten zijn het ontwikkelen van beleid, risicobeheer en het zorgen voor compliance met regelgeving en standaarden.

Vanuit het perspectief van de BIO:

  • Ontwikkel en herzie beleid en procedures om aan de BIO-eisen te voldoen. Denk bijvoorbeeld aan toegangsbeleid, wachtwoordbeleid, inkoopbeleid et cetera. Ook is het belangrijk dat je een overkoepelend informatiebeveiligingsbeleid creëert welke de richtlijnen van de BIO volgt. De IBD heeft hier een mooi template voor die je kunt gebruiken.
  • Zorg voor risicobeheer: Voer risicoanalyses uit om te bepalen waar de organisatie kwetsbaar is en hoe de BIO-maatregelen kan helpen deze risico’s te beheren.
  • Ontwikkel trainings- en bewustwordingsprogramma’s voor medewerkers om ze te informeren over de BIO-maatregelen en hun rol in het handhaven van de informatiebeveiliging. Vanuit IB&P geven wij cursussen aan diverse doelgroepen, zoals functioneel beheerders, I-adviseurs en projectleiders en de proceseigenaar (lijnmanager)
  1. Operationele laag: Hier worden de dagelijkse activiteiten en het beheer van IT-operaties gerealiseerd. Deze laag legt de focus op het effectief en efficiënt uitvoeren van de IT-processen en -diensten. Belangrijke activiteiten zijn het beheren van de IT-infrastructuur, het uitvoeren van onderhoud en updates, en het bieden van ondersteuning aan eindgebruikers.

Vanuit het perspectief van de BIO:

  • Implementeer beveiligingsmaatregelen in operationele processen en IT-systemen om te voldoen aan de BIO-maatregelen. Dit omvat het aanbrengen van technische en organisatorische beveiligingsmaatregelen. Dus mens, proces en techniek!
  • Zet systemen op voor het monitoren van beveiligingsincidenten en het reageren hierop in overeenstemming met de BIO-maatregelen.
  • Zorg voor continue verbetering van informatiebeveiliging (Plan-Do-Check-Act). Zorg dat de informatiebeveiliging up-to-date blijft en zich aanpast aan veranderende omstandigheden.

De drie kolommen

  1. Technologie: Richt zich op technische aspecten van IT, zoals infrastructuur, hardware, software, en netwerken.
    • Strategische aspecten: Hier worden beslissingen genomen over technologie-investeringen en architectuurplanning.
    • Tactische aspecten: Dit omvat de implementatie van nieuwe technologieën en het beheer van IT-middelen.
    • Operationele aspecten: Hier draait het om het dagelijkse beheer en onderhoud van technologische middelen.

Vanuit het perspectief van de BIO:

Implementeer technische beveiligingsmaatregelen volgens de BIO-maatregelen, zoals sterke authenticatiemethoden, encryptie, en netwerkbeveiliging en hardening.

  1. Proces: Richt zich op de processen en methoden die worden gebruikt voor het leveren en beheren van IT-diensten:
    • Strategische aspecten: Hier worden IT-beheerprocessen en -methodologieën gedefinieerd.
    • Tactische aspecten: Hieronder vallen optimalisatie en standaardisatie van IT-processen.
    • Operationele aspecten: Dit betreft de dagelijkse uitvoering van IT-processen en procedures.

Vanuit het perspectief van de BIO:
Ontwikkel en optimaliseer processen die voor informatiebeveiliging relevant zijn. Denk hierbij aan bijv. risicobeheer, incidentbeheer, wijzigingsbeheer en toegangsbeheer in lijn met de BIO.

  1. Organisatie: Betreft mensen en organisatiestructuren die betrokken zijn bij IT-beheer.
    • Strategische aspecten: Hier draait het om de organisatorische inrichting en capaciteitsplanning voor IT. Tactische aspecten: Talentmanagement, training en teamontwikkeling vallen hieronder.Operationele aspecten: Dit omvat de dagelijkse leiding van IT-teams en personeelsbeheer.

Vanuit het perspectief van de BIO:

Zorg ervoor dat alle medewerkers, van IT-personeel, functioneel beheer, i-adviseurs, projectleiders, afdelingsmedewerkers tot het management, betrokken zijn en hun verantwoordelijkheden en rol begrijpen voor het realiseren van informatiebeveiliging binnen de organisatie. Beleg deze verantwoordelijkheden ook formeel zodat iedereen ook weet wie waarvan is.

Samenvatting

Het 9-vlaksmodel biedt een holistische (integrale) benadering voor IT-beheer, waarbij elke laag en kolom een integraal onderdeel vormt van het geheel. Hiermee kunnen organisaties hun IT-strategie, tactiek en operaties gestructureerd benaderen, met gelijke aandacht voor technologie, processen en mensen. Dit leidt tot een effectievere en efficiëntere IT-functie die goed aansluit bij de algemene doelen van de organisatie.

Door de BIO-maatregelen te integreren in de strategische, tactische en operationele lagen van de organisatie, en door aandacht te besteden aan technologie, processen en mensen, kan een overheidsorganisatie een sterke en doeltreffende informatiebeveiligingsstrategie ontwikkelen en behouden.

Download hier een pdf van deze blog met een aanvullende bijlage van enkele voorbeeldvragen die een CISO kan stellen om meer inzicht te krijgen in het concept van het 9-vlaksmodel.

Meer informatie of hulp nodig?

Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…

Wat is een gerechtvaardigd belang?

Wanneer je als organisatie persoonsgegevens verwerkt, heb je altijd een zogeheten ‘grondslag voor de verwerking van persoonsgegevens’ nodig. Eén van de grondslagen is een ‘gerechtvaardigd belang’. Maar wat houdt een ‘gerechtvaardigd belang’ eigenl…

Het volwassenheidsmodel voor authenticatie

In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden.