Voorwoord Een goede, efficignte informatievoorniening staat of valt met de kwaliteit van de informatiesystemen. Binnen de organisatie van Rijkswaterstaat dreigt een wildgroei, waardoor er problemen in organisatorische en financiële zin kunnen ontstaan. Deze ongewenste effecten hebben hun negatieve invloed op het functioneren van alle geledingen binnen RWS.
el deze brocliure willen we laten zien hoe er efficieiiter met iníormatievoorziening en informatietechnologie kan worden omgegaan. Dit wordt meteen al bereikt door gebruik te malten van en rekening te lioiideii niet reeds aanwezige kennis en techiiologie. Maar dan moet deze wel in l a a i t worden gebracht. Deze brochure is een aanzet om de iiiforrnatievoorziening biiiiien 1lWS beheersbaar te inalten en te houden, zodat er daadwerkelijli sprake is van informatieinanagement biiiiien de verantwoordelijke kaders.
Inleid ng: De De cursus Informatiemanagement voor medewerkers van Rijkswaterstaat bestaat al vanaf 1993 en is bedoeld om vanuit de integrale managementoptiek stil te staan bij de beleidskaders voor Informatie ú Automatisering (IúA) binnen Rijkswaterstaat. De cursus gaat in op hoe je in de eigen organisatie, in de eigen afdeling om moet gaan met de planning van IúA. Je leert de juiste eisen te stellen aan het gebruik en beheer van informatievoorziening, een weerwoord te hebben in gesprekken met informatie- en automatiseringsdeskundigen en vooral kritisch t e zijn.
CI
it boekje is een samenvatting van de in de cursus gedoceerde stof en geeft nog eens duidelijk weer, welke eisen men aan informatietechnologie zou moeten stellen om deze zo optimaal en efficiënt mogelijk te integreren binnen alle bedrijfsgeledingen van de organisatie. De volgende onderwerpen komen daarbij aan bod: 0 hoe ziet je omgeving eruit; * hoe realiseer je vemieuwingen; * hoe ga je om met gegevens en informatie; hoe ga je om met beheer van gerealiseerde informatietechnologie; * hoe beveilig je je informatievoorziening.
D
De complexiteit van IúA-management De geautomatiseerde informatievoorziening heeft een grote vlucht genomen. Organisaties worden steeds meer afhankelijk van computers. Grotere organisaties lopen hier meer tegenaan door de problemen die ze hebben met standaardisatie, de complexiteit van het beheer van de techniek en de informatievoorziening, en het spanningsveld tussen het aanschaffen van standaardpakketten of het laten maken van maatwerk.
sus Inforrnatiemanauement
o m optimaal gebruilt te kunnen maìten van de teclinoiogisclie ~
1 1
1
mogelijkheden, is een gedegen technische infrastructuur vereist. De kern hiervan is standaardisatie van componenten en interfaces (=koppelingen). I Iet gaat hierbij om standdardisatie op diverse niveaus. %o moeten gegevens en informatieoverdracht worden gestandaardiseerd, maar ook applicaties, coinputing platforms (Windows, Unix, etc.) en netwerkbesturing. Ook apparatuur zal gestandaardiseerd inoeten worden.
Informatie ei1 inforinatievoorziening spelen in alle processen dooi eii zijn daarmee, naast kapitaal, groiidstoffeii en liuman resources, productiefactoren van betekenis geworden. I-Iet bijzondere van de werk- en productieprocessen binnen de overheid - en breder: binnen de dienstverlenende sector - is, dat informatie niet alleen in de besturing een rol speelt, maar veelal ook de grondstof en het eindproduct vormt. Voorbeelden hieivan zi jn vergunningen, besteldten en beleidsnota's.
3 Methoden h Technieken
Bedrijfsdoelen
"waarvoor"
I 1 ~
~~~~~~~~~~~~~~~~~~
De informatiehuisliouding moet volgens eeii bepaalde structuur zijn opgebouwd. RWS tiaiiteert hiervoor het iieveiistaaiide. lagenmodel ais arciiitectuur voor de inforniatievoorzieiiiiig.
w aige ris : bepaal de bedrijjldoelen (bron: vaak divene beleidsnota‘s, je kunt dit vastleggen in het direclieplan); daaronder kun je de injol-matiemodellen (pmesmodellen, gegevensmodellen, infornzaliebehoejlen) invullen, watergegevens bijvoorbeeld staan in DONAR; daaronder kun je de injarmaliesystemen invullen (bijvoorbeeld DONAR-upplicaties, FAIS, elc.); in de ondersie laag is de technische inflastrucluur gesitueerd: hei “waarmee” (apparaluu?; software, netwerfzen, etc.); rechts staat de organisatie (gebruikers, beheerden, aulomaliseerden); links staan de methoden en technieken wuarmee je de diverse lagen kan vullen.
~~~~~~~~~~~U~ s.3
‘ 3
(1
.
Iniorrnatietecliiiologie vormt de technische basis, bestaande uit apparatuur als computers, printers, plotlers, apparatuur voor datacommunicatie en programmatuur voor gegeveiisveiwerlcing. Met deze apparatuur en programmatuur l
,
Hoe ziet je oma m
Organisatie
Informatie
*Klantgericht
*Doelgericht
*Flexibel, dynamisch
Restulaatgericht *Bedrijfimatig *Innovatief *Integraal managgament
Efiiciënt
*Geautomatiseerd *Bedrijfiaher *Betrouwbaar *Bijblijven...
Informatiemanagement
Tussen de organisatie en de informatie heerst er een kloof, die met informatiemanagement overbrugd kan worden. Door de huidige situatie en trends binnen de organisatie te inventariseren, kan de noodzakelijke informatietechnologie in kaart worden gebracht. Dit vraagt enerzijds verantwoordelijkheid en flexibiliteit van de organisatie en anderzijds beheersing en standaardisatie op het gebied van informatietechnologie.
I
We verkennen de kloof die bestaat tussen het beleid van de organisatie enerzijds en de inrichting van de informatietechnologie anderzijds. We bekijken de trends die zijn waar te nemen op het vlak van bedrijfsdoelen, de interne organisatie en de informatietechnologie.
Trends in eisen aan de organisatie Een organisatie opereeiz niet in het luchtledige, maar ontleent zijn bestaansrecht aan de bijdrage die de organisatie levert aan de maatschappij. De eisen die de omgeving stelt, veranderen en de organisatiedoelen moeten daarop aangepast worden. Belangrijke trends die we kunnen waarnemen zijn: * klantgerichter werken; * kwaliteitsbewuster werken; 0 de noodzaak tot kostenbeheersing; outputsturing; 0 integraal management.
Trends in mogelijkheden informatietechnologie Aan de andere kant van de kloof zien we de ontwikkeling van de informatievoorziening en de daarbij gebruikte technologie. We zien op dit terrein 0 de technology push: technisch specialisten zagen mogelijkheden voor toepassingen en wisten hun managers te overtuigen van het belang ervan. En leveranciers speelden een niet altijd even fraaie rol: klanten werden verplicht om nieuwe systemen te kopen, omdat oude niet meer ondersteund werden of omdat fouten niet meer opgelost werden. Ook werden er regelmatig producten verkocht waarvan achteraf bleek dat de verkoopverhalen sprookjes waren. "Maar de demo zag er toch zo leuk uit!" De moderne visie is, dut alleen aanpassing van organisatie en werkwijzen, in combinatie met het toepassen van 17; tot resultaten leidt (Business Proces Re-design). Dit geldt zowel voor de eigen organisatie als voor de samenwerking tussen organisaties. * communicatie: we zien een toename van communicatiemogelijkheden via het wereldwijde Internet en het bedrijbinterne Intranet, het
!ving eruit
i
,'
gebruik van elektronische post (e-mail), met workjlow-automatisering (de AO-procedures zitten in de computers) en er komen steeds meer mogelijkheden voor mobiele communicatie, ook via computers. het clientlserver-concept: wordt steeds meer praktijk, waarbij het werkstation of de PC op het bureau als dient, Jurigeeri en gebruik maakt van diverse servers in het netwerk. Hiermee is veel meer jlexibiliteit (,e bereiken in de informatievoorziening (denk ook m n het intranet van VenW). loegankelijkheid: het wordt in loenemende mate mogelijk vanaf elke plek toegang te krijgen tot een gigantische hoeveelheid injòrrnatie, vmalkantooi; vanaf huis of onderweg Net maakt daarbij niet uit o m wut uour informatie Iiei gaat: documenten, meetgegevens, landhaarten, agenda's van collega's oJ databanken met bijvoorlieeld alle wetteksten. De informatietoeganhelijkheirl wordt niet beperkt tot de eigen organisatie. Via een ontwikkeling als Interne1 en het World Wide Web is wereldwijd inlormatie van tal van organisaties en individuen bereikbaai: Er zullen in toenemende mate sufiwarehulpmiddelen in de vorm van zogenaamde agents op de markt komen, die helpen o m in deze informatie-overload een weg ie vinden. Zij 'weten' in welke inforrnatie je interesse hebt en ze zorgen ervoor dat die infornzatie voor jou verzameld wordt. De technische voorwaarden in de vorm van snelle dataconzrnunicatielijnen (V& W-net) en mobiele datacommunicatie zijn sterk in opmars. workflow management: veel organisaties zijn nog sterk hiërarchisch en funclioneel ingerichr. Dit leidt lot schuilen tussen afdelingen en disciplines. De gevolgen voor de klant zijn, dat hij van het h q j e naar de muur wordt gestuurd. Voor het management betekent hei, dat er niet gestuurd kun worden op doorlooptijden. Met worhjlow nzanagementsystemen is hiervoor een o,i)lossing te creëren. WorkJlow rnanagenient is autonzatisering ter ondersteuning van routinematige hantourprucessen waarbij verschillende medewerkers betrokken zijn. IHet computei-net.werk is actief in de uilvoering en bewaking van werkprocessen en procedures. Workjlow management-systemen vervangen fòrrnulieren- en informatiestromen. Zij fingeren als 'intelligente' elektronische lopende band of butlei:
.
..
--.
,
.
\i\rorltflow management is van belang voor processen met de volgende kennierken: :-, er zijn verschillende medewerkers bij betrokken, door de organisatie
verspreid; er is veel onderlinge informatie-uilwisseling nodig; .' procedures en kwaliteitseisen zijn belangrijk voor het proces; procesbessluring en -bewaking z.ijn belangrijk; .J het proces wordt vaak doorlopen. i
-J
Voorbeelden van dergelijke processen zijn kredietverlening, het verlenen van vergunniiigen, alle processen rond bestekken, het vervullen van een vacature of bedrijfsinkoop. 'ie denken valt ook aan processen waarbij het voor de medewerkers die erbij betrokken zijn, prettig is om door het workílow-programma aan de liaiicl te worden genomen. Dit Itan het geval zijn bij werk dat zij niet zo vaak doen, zoals het malteii van een offerle.
et
~~~~~~~~~~~~~
wal1 de
Iltleof
In de huidige situatie heeft een manager de integrale verantwoordelijkheid voor de resultaten van zijn orgaiiisatieoiidei.dee1. De integraal manager heeft de zorg voor een uitgebalanceerde ontwildteling van de bedrijfsprocessen, de mensen eii de systemen die iii gebruik zijn. Iiij treedt op als jongleur met deze drie 'ballen', Hierbij moeten de mensen optiinaal zijn getraind ("focus") voor hun bijdrage aan de bedrijfsprocessen, de systemen moeten passen ("fit") bij de bedrijfsprocessen; en de mensen moeten plezier hebben ("fun") in het werken met de systemen.
Hoe realiseer j e
Wat is de strategie voor de toekomst
eel bedrijven hanteren nevenstaand raamwerk om de benodigde activiteiten te ordenen die tot een I&A-plan moeten leiden. Dit noemt men ook wel Business Information Planning. Het resultaat moet een integraal veranderplan zijn. Om hiertoe te komen, wordt aandacht geschonken aan de bedrijfsstrategie of -focus, de bedrijfsdoelen of het bedrijfsbeleid, de bedrijfsprocessen en de hulpmiddelen, waaronder informatietechnologie.
V
Begrippen
Geïntegreerd veranderinsprogramma
Het beleidsinstrument voor het planmatig omgaan met informatievoorziening noemt men vaak informatieplan, In een informatieplan staat de visie beschreven op informatie en de informatievoorziening in de organisatie. Het automatiseringsplan is doelgericht. Hierin staan de jaarlijkse kosten die begroot zijn voor de IT in een directieplan. Voor de onderbouwing verwijst het automatiseringsplan naar het informatieplan.
Strategie en bedrijfsdoelen
Er bestaan diverse modellen om processen en procedures binnen een organisatie weer te geven. Door deze in te vullen en te analyseren kunnen nieuwe doelstellingen worden opgesteld, met een bijbehorend plan om deze te verwezen lijken. Kritieke succesf actoren, randvoorwaarden, kosten, baten en verantwoordelijkheden krijgen hierin volop aandacht, zodat de kans op onaangename verrassingen wordt geminimaliseerd.
We beginnen bovenin en links in het midden van het model met de inventarisatie van de strategie en de bedrijfsdoelen. Hiervoor heb je een goede kennis van de organisatie nodig. Voor verschillende beleidsterreinen worden er beleidsnota’s geschreven, zoals het Beheersplan Nat of Weg 2000. Voor IT is er het Handboek van de MD. Een directie kan een eigen beleidsplan hebben, maar heeft in ieder geval een directieplan. De vertaling van de strategie en bedrijfsdoelen van Rijkswaterstaat horen in het directieplan te staan. Informatievoorziening speelt een belangrijke rol in zowel de uitvoerende bedrijfsprocessen als de besturingsprocessen. De behoefte aan informatie is echter niet statisch. Zij verandert in de tijd.
Processen Onderscheiden worden werk- of productieprocessen, besturingsprocessen en ondersteunende processen.
vernieuwing? Het maken van bestekken, liet ontwerpen van bijvoorbeeld liunstwerken, het maken van beleidsnota's, het uitvoeren van plaiistudies of het uitvoeren van waterbeheer of sluis- en bl-ugbediening zijn alleinaal voorbeelden van werkprocessen in de liLVS-pial
Tenslotte moet men de hulpmiddeleii die de processen ondersteunen, in kaart brengen. Een snelle methode om inzicht te krijgen in de s t a d van zaken van de huidige hulpmiddelen, is een enquête te houden onder het persoiieel (geliruiliers en beheerders) en hen per hulprniddel een aantal vragen te laten invullen. Aan de hand van de resultaten kan de kwaliteit van de applicaties zoals die eivaren wordt, eenvoudig in een diagram weergegeven worden.
De syster-srslife cyek Normaal gesprolten doorlopen hulpmiddelen, dus ook I'î-hulpmiddelen, in litin leven de volgende fasen: initiatie en onlwihkeling; invoel ing; gebruik; evaluatie. Evaluatie van een liulpniiddel liari leiden tot de aanpassing of afscliafhiig ervan of tot de oiitwilil<elingvan een nieuw hulpmiddel (iniliatie). Een hulpmiddel I a i i geëvalueerd worden als onderdeel van een iiiformatieplaii, maai' ook ais onderdeel van een audit op iiet systeem en het gebruik.
Plan voor verandering De hiervoor beschreven inventarisaties en analyses moeten tenslotte leiden tot een geïntegreerd veranderplan. In het plan kan staan wat de gevolgen zijn van de strategie en bedrijfsdoelen voor de huidige processen en voor de huidige hulpmiddelen, hoe de gewenste situatie moet worden ingevuld, een plan van aanpak om tot de gewenste situatie te komen en mogelijke knelpunten bij de veranderingen (weerstand, budget, menskracht, etc.). Bepaal van tevoren welke kritieke succesfactoren voor het maken van het plan gelden. De kritieke succesfactoren die voor ieder veranderplan gelden, zijn de mate waarin het top- en middelmanagement erachter staan en de communicatie met alle medewerkers over.de betekenis van dit plan voor hun werk, de voortgang van het plan, de uit te voeren projecten, etc. Als de wensen en knelpunten op het vlak van informatievoorziening eenmaal in kaart zijn gebracht, zullen er keuzen gemaakt moeten worden en prioriteiten worden gesteld. Het vereist aparte aandacht om goed gebruik te maken van de beschikbare technologie. Met andere woorden, de inzet van kostbare NA-hulpmiddelen vraagt dezelfde aandacht van management als het toepassen van hulpmiddelen op andere terreinen van de bedrijfsvoering. Kostbare technologie kan h pen indien:
je zorgt dat het past in het RWS-beleid; e je de plannen afstemt op de bedr~j~doelsteElingen van de e’ . directie; , * j e prioriteiten stelt en de kosten beheerst; * je nieuwe ontwikkelingen planmatig aanpakt: 0 je voorziet hoe je het beheer en onderhoud regelt; * j e weet welke wensen je wilt realiseren [en welke niet!),
!bsten De kosten voor verbetering van de (geautomatiseerde) iiiformatievoorzieiiing zijn vaak redelijk goed te liwaiitificeren.
EenmaSige Btosten: voorbereidingskostn voor bijvoorbeeld adviezen oJdejniiiestudies; kosten van ontwikkeling of aanschrzf van pi.ogramniatuur en appautuux Denk ook aan benodigde ajippamiuur voor ontwikkeling; .’ kosten van invoeringactiviteiten voor een nieuw systeem, zoals evenw e l het convertereen van gegevens, lesten, schaduwdraaien, het ontwikkelen van nieuwe procedures; hosten van opleidingen en support. Uit kost immen tijd en productieverlies van de medewerkers; invoerings- en opleidingshosten (tof 20% van de aanschiijilosten). ti
k)
-?
! :
kosten: reken voor de beheerkosten minimaal 10% van de ontwilzhelkoslen; onderhoudskosten zijn erg afhankelijk vun de kwaliteit van liei te onderhouden systeem en de turbulentie in de gebruiksomgeving: zijn er veel of weinig aanpassingen nodig? PC-hosten, de Gartiier-groep hee{l berekend dat een standaard J’C ongeveer f 12.000,- per jaar kost (cijJers 1338). Als de PC op een netwerk is aangesloten, komt hier bijna f 5000,- per werkpleh per jaar bij (inclusief printers, servers etc.). Oe gemiddelde hostenverdeling is als volgt: 15% hard- en software-aanschafj20sten 15% supporthosten 3 4% beheerkosten 56% gebruikskosten.
~~~~~~~~~~
i:
.j
Baten De bateii van verbeterde (geautornatiseerde) iiiforniatievoorxiening zijn vaak veel moeilijker te kwantificeren daii de kosten. Naast arbeidsvervaiigende baten, die ineestal wel zijn te liwantificeren, zullen bateii vaak ineer kwalitatief van aard zijn: verbetering van de bedrijfsvoering, ineer klantgericht liunneli werlieri, etc.
Randvoorwaarden Bij de prioriteitsstelling moet rekening worden gehouden met randvoorwaarden. Als eerste moeten de wensen getoetst worden op haalbaarheid. Zeker wat de automatisering betreft, is een toets op technische haalbaarheid essentieel.
Check in hoeverre de producten die u wil inzetten, stabiel zgn. De technische ontwikkeling gaat zeer snel, maar vele producten hebben nog maar nauwelQks het laboratorium verlaten. * Past de technische oplossing bQ de bestaande technische infrastructuur [standaardisatie) * Is het plan financieel haalbaar Is het plan organisatorisch haalbaar; een organisatie en de mensen daarbinnen kunnen niet van de ene op de andere dag volledij!- veranderen. I
Bedenk groeipaden waarbij stabiliteit en verandering met elkaar in evenwicht zijn. Ga daarom in de planning stap-voorstap vooruit. En zorg voor voldoende draagvlak en motivatie voor veranderingen. De gewenste situatie en de weg daar naartoe moeten door de meerderheid ook zo beleefd en ondersteund worden. ”Think big” geeft inspiratie en motivatie. “Act small” zorgt voor concreet resultaat!
n
Geaewens en in1 Informatie ontstaat door gegevens op een bepaalde wijze met elkaar te combineren. Door verschillen in functies, taken en referentiekaders verschillen ook de informatiebehoefte en interpretatie van gegevens. Door echter gegevens accuraat te behandelen en up=to-datete houden, zijn ze geschikt om verwerkt te worden tot informatie. Informatie die via een goed ingerichte informatievoorziening één van de belangrijkste bronnen vormt voor bestuur, beleid en productie.
et is zinvol om onderscheid te maken tussen de begrippen gegevens’ en ’informatie’, hoewel ze in het normale spraakgebruik vaak door elkaar gebruikt worden. Gegevens zijn (symbolische) weergaven van objecten, feiten of gebeurtenissen. Het is de ordening, bewerking en presentatie van gegevens die tot informatie leidt. Informatie voegt iets toe aan de kennis en het begrip van mensen, zodat zij op basis daarvan bijvoorbeeld beslissingen kunnen nemen. Een gebruiker moet altijd wel iets doen, als hij gegevens krijgt. Hij moet ze interpreteren. Dat wil zeggen dat hij de gegevens moet herleiden tot informatie waar hij wat mee kan.
Hf
Problemen met gegeveins Problemen met gegevens kunnen ontstaan bij: * een verschil in definitie en vastlegging. Is dit het geval, dan kunnen gegevens niet worden uitgewisseld. In de praktijk worden nu (bijna) dezelfde gegevens vaak dubbel vastgelegd, bijvoorbeeld adresgegevens; * de wijze van vastleggen van gegevens. Dit kan grote consequenties hebben. is een adres samengesteld uit naam, straat + huisnummers, postcode + woonplaats (drie velden), of splitst u alle velden uiteen in naam, voorletters, straatnaam, huisnummer, postcode, woonplaats, land (zeven velden), Voordelen van het opsplitsen zijn bijvoorbeeld, dat u op alle aparte velden kunt sorteren en selecteren. C, uitwisseling wan gegevens: Dit is vaak onmogelijk. Toch gaat het steeds om dezelfde weg, met dezelfde structuur, ligging en worm. Basisgegevens zoals wegnummers worden op tal van plaatsen dubbel ingevoerd, met daarbij ook een dubbele kans op fouten; * integraal beleid. Dit vraagt om integrale (management-)informatie. Omdat de basis van de informatie in verschillende systemen veelal verschil, is het moeilijk om integrale informatie te genereren (bijvoorbeeld door het samenvoegen van wegschadegegevens en ongevalregistraties).
Goed omgaan met gegevens Uit correcte gegevens kunt u actuele en betrouwbare informatie afleiden. Ook bereikt u dat u met partners en collega’s over hetzelfde praat en goed communiceert.
b
rrnatie
I1 I 1
De RWS'er ontkomt er niet altijd aan dezelfde gegevens in diverse systemen bij te houden. Bekeiide voorbeelden zijn projectgegevens in zowel IAIS als PI%, contractgegeveiis in zowel Mempliis als nestar of adresgegevens in diverse systemen. ílezeiftìe gegeveiis i>ijhouden iii verschillende systemen moet echter zo~7eelinogelijlc vermeden worden.
Goed omgaan met gegevens voorliomt duùbel werk, voorkomt inconsistente eii onbetrouwbare informatie, veriioogt cic ìwaliteii van de informatie eii voorkomt coniiiiuiiicatieprobleineii.
Wan gegevens naar rnform;44leavchitectu~~~ Om ervoor te zorgen dat de juiste informatie op de juiste plaats en op het juiste moment beschikbaar komt, is iiiforinatieliuishouding nodig: een samenhdngeiid stelsel van infoi inatievoorziening en -systemen, regels, procedures eii veraiitwoordelijlcheden. IIet uitvoeren van het (meta-)gegeveiisbeheei is hierbij een esseritiele functie.
Beheer van gerc De automatisering van informatievoorziening binnen V&W en RWS is aanvankelijk bottomup gegroeid. Nog steeds kent het beheer van de automatisering gespreide verantwoordelijkheden, De verschillende beheerniveaus kunnen in combinatie centraal of decentraal worden uitgevoerd of zelfs worden uitbesteed. Aan elke vorm kleven voor- en nadelen, die eerst onderkend moeten worden, alvorens de beheerfuncties kunnen worden ingevuId.
-
Soorten beheer Er zijn verschillende soorten beheer te onderscheiden:
-
Functioneel beheer wordt bij de RWS en VenW op diverse manieren ingevuld. Zo is de MD functioneel beheerder van VenWnet, RIKZ van DONAR, de BOF van FAIS en COMI-P, RSO van Bestar, RIZA van WVOINFO. AI deze organisatiebrede systemen kennen overlegorganen van gebruikers. Deze gebruiker noemt men bij de directie de functioneel systeem beheerder. Er is hier sprake van een centrale organisatie waarin de communicatie met de decentrale beheerders via overlegorganen geregeld is. Voor eigen directie-systernen ligt het functioneel beheer meestal bij de gebruikersafdeling.
Applicatiebeheer: houdt het wijzigen en documenteren van de hulpmiddelen in; applicatiebeheer kun je uitbesteden aan een centrale afdeling. Centraal beheer heeft diverse voordelen. Het is effici relatief goedkoop doordat er minder menskracht n
ies luidt om beheer da
IT-organisatie directie De laatste jaren is men bij Rijkswaterstaat - helaas niet altijd op directieniveau - bezig geweest na te denken over de omvang, positie en taak van .de centrale automatiseringsafdeling. Bij Rijkswaterstaat is van oudsher veel beheerwerk gedecentraliseerd naar de gebruikersorganisaties.
Minimum eisen IForganisatie binnen een directie: weet wie waarvoor verantwoordelijk is; * welke taken laat de directie centraal uitvoeren, leg deze taken vast in een dienstverleningsoveremkomst; * leg de plìchten van de gebruikers vasr in een huishoudelijk reglement; * zorg voor inzicht i e plaats van de functjoneel systee ders van landelijke systemen, bepaal kun bewegingsruimte in de landelijke gebruikersoverleggen. 0
Centrale automatiseringsorganisatie Naast een indeling naar soorten beheer is het ook mogelijk om de beheertaken procesmatig in te delen. Denk aan methoden als ITIL, waar we melding, probleembeheer, wijzigingsbeheer, configuratiemanagement onderscheiden. Deze procesmatige indeling is van toepassing op alle soorten van beheer. Als je bijvoorbeeld technisch beheer zou uitbesteden, dan kan de afdeling of het bedrijf die het technisch beheer uitvoert dit op ITIL-wijze inrichten.
Beveiliging var Het doel van informatiebeveiliging is het scheppen van voorwaarden voor een betrouwbare informatievoorziening. Om te komen tot een geïntegreerd beveiligingsplan is het noodzakelijk om eerst de bedrijfsprocessen en informatiesystemen te inventariseren. Vervolgens kunnen deze volgens diverse methodieken geanalyseerd worden, zodat er inzicht wordt verkregen in hoeverre het gaat om kritieke informatiesystemen. Daarna kan het beveiligingsplan op centraal en decentraal niveau worden opgesteld.
at een manager in zijn of haar werk steeds afhankelijker wordt van geautomatiseerde hulpmiddelen, is al eerder aangestipt. In alle processen van de organisatie passen de medewerkers geautomatiseerde hulpmiddelen toe.
D
Als manager * moet je op de hoogte zijn van de wijze waarop geautomatiseerde hulpmiddelen je werkprocessen ondersteunen;
* moet je weten welke betrouwbaarheidseisenje stelt aan de hulpmiddelen en de opslag van gegevens; moet je weten welke bedreigingen er zijn die de betrouwbaarheid bedreigen; * moet je weten welke maatregelen je treft om de betrouwbaarheid te waarborgen; * moet je weten welke beveiligingsrnaatregelen uitgevoerd worden door een centrale autornatiseringsufdeling en welke je zelf moet uitvoeren. 0
Beleid Ministerie van Werkeer en Waterstaat Volgens een ministerieel besluit is ieder ministerie verplicht om zich te houden aan het Voorschrift Informatiebeveiliging Rijksdienst (VIR).Volgens de ViR is elk ministerie verplicht een eigen beleid vast te stellen.. VenW heeft een decentraal beleid vastgesteld in 1995. Alleen voor ministeriebrede systemen is een verantwoordelijke aangewezen, de rest is een zaak van de Directoraten-Generaal. De volgende wetten zijn van toepassing: * de Wet Persoonsregistratie (WPR); 0 de Wet Computercriminaliteit (WCC). De WPR en de WCC zijn wetten die vastgesteld zijn in de Kamer. De Directie Organisatie en Informatie (DOI) van VenW geeft hier toelichtingen over uit.
ie informatievoorziening
VIR Biniien de overheid is het Voorschrift Iiiformatiebeveiliging Rijksdienst (Vin) van kracht. Volgens de VIR hoort een afdeling een overkoepelend beveiligiiigsplan te hebben. Dit plan moet voldoen aan de VIR en hoort jaarlijks gereviseerd te worden, zodat het wordt aangepast aan wijzigingen in de organisatie of het aantal informatiesystemen. In dit plan moeten de organisatiebrede taken zoals viruscontrole, exteriie back-ups eii liet calainiteitenplan verdeeld worden. Daarnaast kunnen er speciale beveiligiiigsplaiinen voor iiiformatiesystemen gemaala worden. riet functioneel, technisch en applicatiebeheer moeteii per informatiesysteem geregeld worden; centrale voorzieningen dienen beheerd te worden en taken zoals liceiitiebeheer inoeten worden toegewezen.
sirifousrnraE.icábs:ir~~IICdisiM Mei doel vaii iriformatiebeveiliging is vooiwaardeii te scheppen voor betrouwbare informatievoorzieniiig. Dat betekent de zorg voor beschikbaarheid, exclusiviteit en integriteit van inforinatie. Hiervoor bepaal je in hoeverre het is toegestaan, dat een informatiesysteem niet beschikbaar is (1 uur, i dag, 3 dagen, i niaai-id ...). Voor de exclusiviteit ga je na, hoe vertrouwelijlt de gegeveiis zijn eii of er gegevens zijn waarop de WPR van toepassing is. Bij integriteit vaii informatie bepaal je lioe je oingaat met de niogelijliheid dat informatie niet correct is en wat de gevolgen zijn als iníormatie niet juist is. I-let is belangrijk oin de spelregels voor gebruikers vast te leggen in een huishoudelijk reglement. t
In de spelregeis kan worden vastgelegd dat: gebruikers de viruscontrole altijd aan moeten laten staan; zo verplichl ztjn beveiìigingsincidenten dooi. te geven a m de daartoe aangewezen persoon; zij zelf geen programmutuur mogen installeren (geen spelletjes); zij de i'c niet zelf mogen verplaatsen; zij netwerknansluilingen niet zelf mogen wijzigen; zij geen progi-umrnaluul- mogen kopiëren voor eigen gebruih. ,b
, I
:i "8
6,
Afhankelijkheids- & Kwetsbaarheids-analyse (A&K-analyse) Globaal zijn de stappen in de AQK-analyse: 1 analyseer de processen in de organisatie (of in de afdeling); 2 inventariseer de informatiesystemen (ook handmatige); 3 wijs de informatiesystemen toe aan de processen; 4 stel betrouwbaarheidseisen op per informatiesysteem; 5 inventariseer bedreigingen die de betrouwbaarheid in gevaar brengen (ook per informatiesysteem); G bepaal maatregelen die de bedreigingen moeten pareren (ook per informatiesysteem).
AúK-analyse binnen een directie Omdat een directie al snel 150 tot 200 systemen gebruikt is
Certificering I
Beveiliging is goed te integreren iii een kwaliteitssysteem. Een kwaliteitssysteem bestaat uit een aantal onderdeleii: : een handboek waarin de overhoepelende zahen zijn vastgelegd, ondertekend door de leiding; : een jaarlijks kwriliteitsplan waarin op basis van ervaringen een aantal verbetervoorsiellen wordt vastgelegd; procedures waarin beschreven stalil welke stappen bij welhe processen doorlopen worden, luie waarvoor verantwoordelqk is en wat er opgeleverd moei worden; werkinstructies voor het uitvoerend personeel met daarin tips voor de uitvoering van hei werk; * > standaaids voor documentatie, standaard voor technische inrichting, standaards voor hoe te werken (oniwerpstandaaids bijvoorbeeld). ' 1
CJ
Voor iiifoi-inatiebeveiliging is het boek 'Code voor informatiebeveiligiiig' verscheiieii. Dit is gebaseerd op de Engelse 'Code of Practice', 1Iet is mogelijk je op deze code te laten certificeren voor inforrnatiebeveiligiiig. Flet is geen EO-, maar een Britse norm die in Nederland is erkend (BS 7799). De Beheer Organisatie MIS en het 1 N S Beheer Centrum waren in Nederland de eerste organisaties die dit certificaat beliaalden (1997).
I
Informatie: Dit is een uitgave van het Ministerie van Verkeer en Waterstaat, Rijkswaterstaat,
Directie Kennis.
