content

Risicomodel informatiebeheer

Het Risicomodel Informatiebeheer is een instrument voor het waarderen van het risiconiveau van informatie in processen, met als doel deze processen en de ondersteunende ICT-voorzieningen op een passend kwaliteitsniveau ten aanzien van het informatiebeheer in te richten. Het is opgesteld door het Stadsarchief Rotterdam en het Expertisecentrum Informatiebeheer Rotterdam en vastgesteld als concernstandaard voor de gemeente Rotterdam.

Links
•    Het theoretisch model (versie 2012, nog niet bijgewerkt naar de nieuwe risicotool 2014)
•    De risicotool in excel (2017, omvat zowel informatiebeheer als informatiebeveiliging)
•    Presentatie op de KVAN-dagen juni 2012
•    Presentatie en publicatie op het DLM-forum in Lissabon november 2014 (Engelstalig)

Toepassing
Het risicomodel fungeert als onderdeel van de architectuurcyclus en de I-Governance van de gemeente Rotterdam. Het is een van de toetsen, naast bijvoorbeeld die van informatiebeveiliging, die verplicht moeten worden uitgevoerd bij ieder ICT-projectvoorstel dat aan de concerndirectie wordt voorgelegd. De toets resulteert in de toekenning van een risicoklasse aan de informatie in het betreffende proces. Aan deze risicoklasse zijn eisen ten aanzien van metadata, functionele eisen in applicaties en controls in de processen verbonden. De risicoklasse wordt in de Project Start Architectuur opgenomen en is leidend voor de inrichting. In de Project Eind Architectuur wordt vervolgens getoetst of het ingerichte proces en de opgeleverde ICT-voorziening aan deze eisen voldoen en waar nog ontwikkelpunten voor een volgende release zijn.

Daarnaast wordt de risicoklasse per proces in het informatiebeheerplan van iedere organisatieeenheid vastgelegd. Het informatiebeheerplan wordt vervolgens jaarlijks besproken met de proceseigenaar en geactualiseerd.
De proceseigenaar loopt onder begeleiding van een informatiespecialist een vragenlijst in excel (de risicotool) over het belang van het proces en de procesinformatie door. Dit resulteert een risicoklasse van laag (0) tot hoog (3). Aan iedere klasse zijn beheermaatregelen verbonden op het gebied van metadata, recordsmanagement functionaliteit in applicaties en procedures/instrumenten. Vervolgens worden het proces en de (proces)applicatie(s) op basis hiervan ingericht.

Achtergrond
Deze aanpak is gebaseerd op de toepassing van risicoclassificaties voor informatiebeveiliging. Het risicomodel is een nadere uitwerking van norm 3 van de ‘baseline informatiehuishouding gemeenten’, waarin wordt bepaald dat er ‘risicoklassen voor informatie gedefinieerd’ zijn.

Totstandkoming
Deze versie is tot stand gekomen na consultatie van vakgenoten in het land, onder meer op de KVAN-dagen van 2012. Het stadsarchief dankt de commentatoren voor hun nuttige opmerkingen en suggesties. Een groot deel hiervan is verwerkt in deze versie. Andere zijn geparkeerd om na een langere evaluatieperiode opnieuw gewogen te worden. In 2014 is de risicotool uitgebreid met vragen vanuit het vakgebied informatiebeveiliging. Deze versie is hier gepubliceerd. Het theoretisch model gaat nog uit van de risicotool van 2012 en zal nog aangepast worden.