Skip to main content

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?


Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Zo zorgt het voor een goede balans tussen technologie, processen en organisatiestructuur. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie van de BIO-maatregelen.

Download hier een pdf van deze blog

Wat is het 9-vlaksmodel?

Het 9-vlaksmodel, een bekend begrip in de wereld van informatietechnologie en informatiemanagement, is een handig hulpmiddel voor het begrijpen en organiseren van IT-processen. Het model werd in de jaren ’90 bedacht door Rik Maes, een professor aan de Universiteit van Amsterdam, toen hij en zijn collega’s op zoek waren naar een manier om de complexiteit van informatiemanagement in organisaties beter te begrijpen. Het model is in de loop der jaren verder ontwikkeld en wordt nu breed gebruikt als hulpmiddel in zowel de academische wereld als in de industrie.

Het model biedt waardevolle ondersteuning aan organisaties bij het beheren van hun informatiesystemen en bijbehorende processen. Het zorgt voor een goede balans tussen technologie, processen en de organisatiestructuur. Dankzij de duidelijke structuur en de alomvattende (holistische) benadering is dit model geschikt voor het beheer van (complexe) IT-omgevingen. Het 9-vlaksmodel kijkt niet alleen naar de technologische behoeften van een organisatie, maar richt zich ook op hoe deze technologie past binnen de bredere bedrijfsprocessen, strategieën en de menselijke kant van de organisatie. Het model heeft zijn waarde bewezen in diverse sectoren, waaronder overheid, onderwijs, gezondheidszorg en bedrijfsleven, waar het model met succes wordt toegepast.

Hoe ziet het 9-vlaksmodel eruit?

Zoals de naam al aangeeft, bestaat het 9-vlaksmodel uit negen vlakken verdeeld in drie rijen en drie kolommen. Elk vak vertegenwoordigt een specifiek aspect van informatiemanagement. De rijen (lagen) geven aan op welk niveau activiteiten binnen een organisatie plaatsvinden: strategisch, tactisch, of operationeel. Deze niveaus worden ook wel aangeduid als richten, inrichten, en verrichten. In de kolommen worden de verschillende betrokkenen en processen (technologie, proces en organisatie) binnen de informatiemanagementorganisatie geïdentificeerd en met elkaar in verband gebracht.

Koppeling 9-vlaksmodel en BIO

De Baseline Informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Het gebruik van het 9-vlaksmodel als leidraad bij de implementatie van de BIO kan een effectieve manier zijn om een gestructureerde en integrale aanpak te hanteren. Hieronder vind je een gedetailleerde uitleg van elke laag en kolom en hun relatie met BIO-maatregelen.

De drie lagen en kolommen in relatie tot de BIO

  1. Strategische laag: Hier worden lange- en middellange termijn doelen voor IT en informatiebeveiliging vastgesteld. Hierbij gaat het om vragen als ‘wat zijn onze lange termijn IT-doelstellingen?’ en ‘hoe kan IT bijdragen aan het behalen van de algemene organisatiedoelen?’. Belangrijke activiteiten zijn het definiëren van de IT-strategie, het uitstippelen van de IT-roadmap en het waarborgen van afstemming tussen IT-doelen en bedrijfsdoelen.

Vanuit het perspectief van de BIO:

  • Creëer bewustwording en commitment op het hoogste niveau van de organisatie. Het is van cruciaal belang dat het leiderschap de waarde en noodzaak van informatiebeveiliging volgens de BIO-normen begrijpt. Informatiebeveiliging is binnen de BIO ook een verantwoordelijkheid van de proceseigenaar. Lees ook onze eerdere blogs ‘Hoe krijg je informatiebeveiliging op de bestuurstafel’ en ‘Verantwoordelijkheden van de proceseigenaar binnen de BIO’.
  • Integreer de BIO (informatiebeveiliging) in bredere strategische doelen en beleid van de organisatie. Dit betreft de afstemming van beveiligingsdoelstellingen met de algemene organisatiedoelstellingen en -beleid.
  1. Tactische laag: De strategische doelen worden vertaald naar concrete acties en middellange termijn plannen. Deze laag behandelt de ontwikkeling van beleid, procedures, en standaarden die nodig zijn om de strategische doelen te bereiken. Belangrijke activiteiten zijn het ontwikkelen van beleid, risicobeheer en het zorgen voor compliance met regelgeving en standaarden.

Vanuit het perspectief van de BIO:

  • Ontwikkel en herzie beleid en procedures om aan de BIO-eisen te voldoen. Denk bijvoorbeeld aan toegangsbeleid, wachtwoordbeleid, inkoopbeleid et cetera. Ook is het belangrijk dat je een overkoepelend informatiebeveiligingsbeleid creëert welke de richtlijnen van de BIO volgt. De IBD heeft hier een mooi template voor die je kunt gebruiken.
  • Zorg voor risicobeheer: Voer risicoanalyses uit om te bepalen waar de organisatie kwetsbaar is en hoe de BIO-maatregelen kan helpen deze risico’s te beheren.
  • Ontwikkel trainings- en bewustwordingsprogramma’s voor medewerkers om ze te informeren over de BIO-maatregelen en hun rol in het handhaven van de informatiebeveiliging. Vanuit IB&P geven wij cursussen aan diverse doelgroepen, zoals functioneel beheerders, I-adviseurs en projectleiders en de proceseigenaar (lijnmanager)
  1. Operationele laag: Hier worden de dagelijkse activiteiten en het beheer van IT-operaties gerealiseerd. Deze laag legt de focus op het effectief en efficiënt uitvoeren van de IT-processen en -diensten. Belangrijke activiteiten zijn het beheren van de IT-infrastructuur, het uitvoeren van onderhoud en updates, en het bieden van ondersteuning aan eindgebruikers.

Vanuit het perspectief van de BIO:

  • Implementeer beveiligingsmaatregelen in operationele processen en IT-systemen om te voldoen aan de BIO-maatregelen. Dit omvat het aanbrengen van technische en organisatorische beveiligingsmaatregelen. Dus mens, proces en techniek!
  • Zet systemen op voor het monitoren van beveiligingsincidenten en het reageren hierop in overeenstemming met de BIO-maatregelen.
  • Zorg voor continue verbetering van informatiebeveiliging (Plan-Do-Check-Act). Zorg dat de informatiebeveiliging up-to-date blijft en zich aanpast aan veranderende omstandigheden.

De drie kolommen

  1. Technologie: Richt zich op technische aspecten van IT, zoals infrastructuur, hardware, software, en netwerken.
    • Strategische aspecten: Hier worden beslissingen genomen over technologie-investeringen en architectuurplanning.
    • Tactische aspecten: Dit omvat de implementatie van nieuwe technologieën en het beheer van IT-middelen.
    • Operationele aspecten: Hier draait het om het dagelijkse beheer en onderhoud van technologische middelen.

Vanuit het perspectief van de BIO:

Implementeer technische beveiligingsmaatregelen volgens de BIO-maatregelen, zoals sterke authenticatiemethoden, encryptie, en netwerkbeveiliging en hardening.

  1. Proces: Richt zich op de processen en methoden die worden gebruikt voor het leveren en beheren van IT-diensten:
    • Strategische aspecten: Hier worden IT-beheerprocessen en -methodologieën gedefinieerd.
    • Tactische aspecten: Hieronder vallen optimalisatie en standaardisatie van IT-processen.
    • Operationele aspecten: Dit betreft de dagelijkse uitvoering van IT-processen en procedures.

Vanuit het perspectief van de BIO:
Ontwikkel en optimaliseer processen die voor informatiebeveiliging relevant zijn. Denk hierbij aan bijv. risicobeheer, incidentbeheer, wijzigingsbeheer en toegangsbeheer in lijn met de BIO.

  1. Organisatie: Betreft mensen en organisatiestructuren die betrokken zijn bij IT-beheer.
    • Strategische aspecten: Hier draait het om de organisatorische inrichting en capaciteitsplanning voor IT. Tactische aspecten: Talentmanagement, training en teamontwikkeling vallen hieronder.Operationele aspecten: Dit omvat de dagelijkse leiding van IT-teams en personeelsbeheer.

Vanuit het perspectief van de BIO:

Zorg ervoor dat alle medewerkers, van IT-personeel, functioneel beheer, i-adviseurs, projectleiders, afdelingsmedewerkers tot het management, betrokken zijn en hun verantwoordelijkheden en rol begrijpen voor het realiseren van informatiebeveiliging binnen de organisatie. Beleg deze verantwoordelijkheden ook formeel zodat iedereen ook weet wie waarvan is.

Samenvatting

Het 9-vlaksmodel biedt een holistische (integrale) benadering voor IT-beheer, waarbij elke laag en kolom een integraal onderdeel vormt van het geheel. Hiermee kunnen organisaties hun IT-strategie, tactiek en operaties gestructureerd benaderen, met gelijke aandacht voor technologie, processen en mensen. Dit leidt tot een effectievere en efficiëntere IT-functie die goed aansluit bij de algemene doelen van de organisatie.

Door de BIO-maatregelen te integreren in de strategische, tactische en operationele lagen van de organisatie, en door aandacht te besteden aan technologie, processen en mensen, kan een overheidsorganisatie een sterke en doeltreffende informatiebeveiligingsstrategie ontwikkelen en behouden.

Download hier een pdf van deze blog met een aanvullende bijlage van enkele voorbeeldvragen die een CISO kan stellen om meer inzicht te krijgen in het concept van het 9-vlaksmodel.

Meer informatie of hulp nodig?

Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons op.  

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

BCM-routekaart voor gemeenten

Met een goed geïmplementeerd BCM-systeem ben je als organisatie beter voorbereid, waardoor je sneller en effectiever kunt reageren op verstoringen.

Inzicht in je risico’s: onmisbaar voor elke gemeente

In de digitale wereld is het beschermen van informatie en het beheren van risico’s cruciaal, ook voor gemeenten. Waarom dit belangrijk is en hoe je dit aanpakt, lees je in deze blog.

Rapportage Datalekken AP 2023

Te veel organisaties in Nederland die worden getroffen door een cyberaanval, waarschuwen betrokkenen niet dat hun gegevens in verkeerde handen zijn gevallen’. Dit blijkt uit het jaarlijkse overzicht van datalekmeldingen in Nederland van de Autorit…

Wat is de rol van de Privacy Officer bij BCM?

Het is belangrijk dat de dienstverlening van de gemeente altijd doorgaat, ook in het geval van een incident of calamiteit. Dit noemen we bedrijfscontinuïteit. Nu is de vraag: wat is de rol van de Privacy Officer hierbij? Is dat alleen om de wet na…

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…