Voorwoord
Een goede, efficignte informatievoorniening
staat of valt met de kwaliteit van de
informatiesystemen. Binnen de organisatie
van Rijkswaterstaat dreigt een wildgroei,
waardoor er problemen in organisatorische en
financiële zin kunnen ontstaan. Deze
ongewenste effecten hebben hun negatieve
invloed op het functioneren van alle geledingen
binnen RWS.
el deze brocliure willen we laten zien hoe er efficieiiter
met iníormatievoorziening en informatietechnologie
kan worden omgegaan. Dit wordt meteen al bereikt door
gebruik te malten van en rekening te lioiideii niet reeds aanwezige
kennis en techiiologie. Maar dan moet deze wel in l a a i t worden
gebracht.
Deze brochure is een aanzet om de iiiforrnatievoorziening biiiiien
1lWS beheersbaar te inalten en te houden, zodat er daadwerkelijli
sprake is van informatieinanagement biiiiien de verantwoordelijke
kaders.
Inleid ng: De
De cursus Informatiemanagement voor medewerkers van Rijkswaterstaat bestaat al vanaf
1993 en is bedoeld om vanuit de integrale
managementoptiek stil te staan bij de beleidskaders voor Informatie ú Automatisering (IúA)
binnen Rijkswaterstaat. De cursus gaat in op
hoe je in de eigen organisatie, in de eigen afdeling om moet gaan met de planning van IúA. Je
leert de juiste eisen te stellen aan het gebruik
en beheer van informatievoorziening, een
weerwoord te hebben in gesprekken met informatie- en automatiseringsdeskundigen en vooral kritisch t e zijn.
CI
it boekje is een samenvatting van de in de cursus gedoceerde stof en geeft nog eens duidelijk weer, welke eisen
men aan informatietechnologie zou moeten stellen om
deze zo optimaal en efficiënt mogelijk te integreren binnen alle
bedrijfsgeledingen van de organisatie.
De volgende onderwerpen komen daarbij aan bod:
0 hoe ziet je omgeving eruit;
* hoe realiseer je vemieuwingen;
* hoe ga je om met gegevens en informatie;
hoe ga je om met beheer van gerealiseerde informatietechnologie;
* hoe beveilig je je informatievoorziening.
D
De complexiteit van IúA-management
De geautomatiseerde informatievoorziening heeft een grote vlucht
genomen. Organisaties worden steeds meer afhankelijk van computers.
Grotere organisaties lopen hier meer tegenaan door de problemen
die ze hebben met standaardisatie, de complexiteit van het beheer
van de techniek en de informatievoorziening, en het spanningsveld tussen het aanschaffen van standaardpakketten of het laten
maken van maatwerk.
sus Inforrnatiemanauement
o m optimaal gebruilt te kunnen maìten van de teclinoiogisclie
~
1
1
1
mogelijkheden, is een gedegen technische infrastructuur vereist.
De kern hiervan is standaardisatie van componenten en interfaces (=koppelingen). I Iet gaat hierbij om standdardisatie op
diverse niveaus. %o moeten gegevens en informatieoverdracht
worden gestandaardiseerd, maar ook applicaties, coinputing
platforms (Windows, Unix, etc.) en netwerkbesturing. Ook
apparatuur zal gestandaardiseerd inoeten worden.
Informatie ei1 inforinatievoorziening spelen in alle processen dooi
eii zijn daarmee, naast kapitaal, groiidstoffeii en liuman resources,
productiefactoren van betekenis geworden. I-Iet bijzondere van de
werk- en productieprocessen binnen de overheid - en breder: binnen de dienstverlenende sector - is, dat informatie niet alleen in de
besturing een rol speelt, maar veelal ook de grondstof en het eindproduct vormt. Voorbeelden hieivan zi jn vergunningen, besteldten
en beleidsnota's.
3
Methoden
h
Technieken
Bedrijfsdoelen
"waarvoor"
I
1
~
~~~~~~~~~~~~~~~~~~
De informatiehuisliouding moet volgens eeii bepaalde structuur
zijn opgebouwd. RWS tiaiiteert hiervoor het iieveiistaaiide. lagenmodel ais arciiitectuur voor de inforniatievoorzieiiiiig.
w aige ris :
bepaal de bedrijjldoelen (bron: vaak divene beleidsnota‘s, je kunt dit
vastleggen in het direclieplan);
daaronder kun je de injol-matiemodellen (pmesmodellen, gegevensmodellen, infornzaliebehoejlen) invullen, watergegevens bijvoorbeeld
staan in DONAR;
daaronder kun je de injarmaliesystemen invullen (bijvoorbeeld
DONAR-upplicaties, FAIS, elc.);
in de ondersie laag is de technische inflastrucluur gesitueerd: hei
“waarmee” (apparaluu?; software, netwerfzen, etc.);
rechts staat de organisatie (gebruikers, beheerden, aulomaliseerden);
links staan de methoden en technieken wuarmee je de diverse lagen
kan vullen.
~~~~~~~~~~~U~
s.3
‘ 3
(1
.
Iniorrnatietecliiiologie vormt de technische basis, bestaande uit
apparatuur als computers, printers, plotlers, apparatuur voor datacommunicatie en programmatuur voor gegeveiisveiwerlcing. Met
deze apparatuur en programmatuur l<uniieii gegevens worden
ingevoerd of ingewonnen, ze kunnen worden gepresenteerd,
bewerkt, opgeslagen en verplaatst naar andere systemen.
Met geheel van computers eii netwerken dat binnen een organicatie aanwezig is, Itaii worden aaiigeduid met het begrip teclinisclie
infras tructuur (1’1). Over de coinputer-verbindiiige~itussen orgaii isaties wordt ook wel gespïolieii als ’de elelrtroiiisclie snelweg‘.
Er is een analogie waar te iieineii tussen de technische inírastructuur voor informatievoorzieiiiiig en de wegeiiiiifrastructulir.
Overeenkomende aspecten zijn onder meer de iioodzaak vaii staiidaardisatie, planning en onderlioud. Maar de belangrijkste overeenkomst is misschien wel, dat ze beide niet vaii de eiie op de
andere dag te ontwildieleri of te wijzigen zijn.
,
Hoe ziet je oma
m
Organisatie
Informatie
*Klantgericht
*Doelgericht
*Flexibel, dynamisch
Restulaatgericht
*Bedrijfimatig
*Innovatief
*Integraal
managgament
Efiiciënt
*Geautomatiseerd
*Bedrijfiaher
*Betrouwbaar
*Bijblijven...
Informatiemanagement
Tussen de organisatie en de informatie heerst
er een kloof, die met informatiemanagement
overbrugd kan worden. Door de huidige situatie
en trends binnen de organisatie te inventariseren, kan de noodzakelijke informatietechnologie in kaart worden gebracht. Dit vraagt enerzijds verantwoordelijkheid en flexibiliteit van
de organisatie en anderzijds beheersing en
standaardisatie op het gebied van informatietechnologie.
I
We verkennen de kloof die bestaat tussen het beleid van de organisatie enerzijds en de inrichting van de informatietechnologie
anderzijds. We bekijken de trends die zijn waar te nemen op het
vlak van bedrijfsdoelen, de interne organisatie en de informatietechnologie.
Trends in eisen aan de organisatie
Een organisatie opereeiz niet in het luchtledige, maar ontleent zijn
bestaansrecht aan de bijdrage die de organisatie levert aan de
maatschappij. De eisen die de omgeving stelt, veranderen en de
organisatiedoelen moeten daarop aangepast worden.
Belangrijke trends die we kunnen waarnemen zijn:
* klantgerichter werken;
* kwaliteitsbewuster werken;
0 de noodzaak tot kostenbeheersing;
outputsturing;
0 integraal management.
Trends in mogelijkheden informatietechnologie
Aan de andere kant van de kloof zien we de ontwikkeling van de
informatievoorziening en de daarbij gebruikte technologie.
We zien op dit terrein
0 de technology push: technisch specialisten zagen mogelijkheden voor
toepassingen en wisten hun managers te overtuigen van het belang
ervan. En leveranciers speelden een niet altijd even fraaie rol: klanten
werden verplicht om nieuwe systemen te kopen, omdat oude niet meer
ondersteund werden of omdat fouten niet meer opgelost werden. Ook
werden er regelmatig producten verkocht waarvan achteraf bleek dat
de verkoopverhalen sprookjes waren. "Maar de demo zag er toch zo
leuk uit!" De moderne visie is, dut alleen aanpassing van organisatie
en werkwijzen, in combinatie met het toepassen van 17; tot resultaten
leidt (Business Proces Re-design). Dit geldt zowel voor de eigen organisatie als voor de samenwerking tussen organisaties.
* communicatie: we zien een toename van communicatiemogelijkheden
via het wereldwijde Internet en het bedrijbinterne Intranet, het
!ving eruit
i
,'
gebruik van elektronische post (e-mail), met workjlow-automatisering
(de AO-procedures zitten in de computers) en er komen steeds meer
mogelijkheden voor mobiele communicatie, ook via computers.
het clientlserver-concept: wordt steeds meer praktijk, waarbij het
werkstation of de PC op het bureau als dient, Jurigeeri en gebruik
maakt van diverse servers in het netwerk. Hiermee is veel meer jlexibiliteit (,e bereiken in de informatievoorziening (denk ook m n het
intranet van VenW).
loegankelijkheid: het wordt in loenemende mate mogelijk vanaf elke
plek toegang te krijgen tot een gigantische hoeveelheid injòrrnatie,
vmalkantooi; vanaf huis of onderweg Net maakt daarbij niet uit o m
wut uour informatie Iiei gaat: documenten, meetgegevens, landhaarten, agenda's van collega's oJ databanken met bijvoorlieeld alle wetteksten. De informatietoeganhelijkheirl wordt niet beperkt tot de eigen
organisatie. Via een ontwikkeling als Interne1 en het World Wide Web
is wereldwijd inlormatie van tal van organisaties en individuen bereikbaai: Er zullen in toenemende mate sufiwarehulpmiddelen in de vorm
van zogenaamde agents op de markt komen, die helpen o m in deze
informatie-overload een weg ie vinden. Zij 'weten' in welke inforrnatie je interesse hebt en ze zorgen ervoor dat die infornzatie voor jou verzameld wordt. De technische voorwaarden in de vorm van snelle dataconzrnunicatielijnen (V& W-net) en mobiele datacommunicatie zijn
sterk in opmars.
workflow management: veel organisaties zijn nog sterk hiërarchisch en
funclioneel ingerichr. Dit leidt lot schuilen tussen afdelingen en disciplines. De gevolgen voor de klant zijn, dat hij van het h q j e naar de
muur wordt gestuurd. Voor het management betekent hei, dat er niet
gestuurd kun worden op doorlooptijden. Met worhjlow nzanagementsystemen is hiervoor een o,i)lossing te creëren. WorkJlow rnanagenient is
autonzatisering ter ondersteuning van routinematige hantourprucessen
waarbij verschillende medewerkers betrokken zijn. IHet computei-net.werk is actief in de uilvoering en bewaking van werkprocessen en procedures. Workjlow management-systemen vervangen fòrrnulieren- en
informatiestromen. Zij fingeren als 'intelligente' elektronische lopende
band of butlei:
.
..
--.
,
.
\i\rorltflow management is van belang voor processen met de volgende kennierken:
:-, er zijn verschillende medewerkers bij betrokken, door de organisatie
verspreid;
er is veel onderlinge informatie-uilwisseling nodig;
.' procedures en kwaliteitseisen zijn belangrijk voor het proces;
procesbessluring en -bewaking z.ijn belangrijk;
.J het proces wordt vaak doorlopen.
i
-J
Voorbeelden van dergelijke processen zijn kredietverlening, het
verlenen van vergunniiigen, alle processen rond bestekken, het
vervullen van een vacature of bedrijfsinkoop. 'ie denken valt ook
aan processen waarbij het voor de medewerkers die erbij betrokken zijn, prettig is om door het workílow-programma aan de liaiicl
te worden genomen. Dit Itan het geval zijn bij werk dat zij niet zo
vaak doen, zoals het malteii van een offerle.
et
~~~~~~~~~~~~~
wal1 de
Iltleof
In de huidige situatie heeft een manager de integrale verantwoordelijkheid voor de resultaten van zijn orgaiiisatieoiidei.dee1. De
integraal manager heeft de zorg voor een uitgebalanceerde ontwildteling van de bedrijfsprocessen, de mensen eii de systemen die
iii gebruik zijn. Iiij treedt op als jongleur met deze drie 'ballen',
Hierbij moeten de mensen optiinaal zijn getraind ("focus") voor
hun bijdrage aan de bedrijfsprocessen, de systemen moeten passen ("fit") bij de bedrijfsprocessen; en de mensen moeten plezier
hebben ("fun") in het werken met de systemen.
Hoe realiseer j e
Wat is de strategie voor de toekomst
eel bedrijven hanteren nevenstaand raamwerk om de benodigde activiteiten te ordenen die tot een I&A-plan moeten
leiden. Dit noemt men ook wel Business Information
Planning. Het resultaat moet een integraal veranderplan zijn. Om
hiertoe te komen, wordt aandacht geschonken aan de bedrijfsstrategie of -focus, de bedrijfsdoelen of het bedrijfsbeleid, de bedrijfsprocessen en de hulpmiddelen, waaronder informatietechnologie.
V
Begrippen
Geïntegreerd veranderinsprogramma
Het beleidsinstrument voor het planmatig omgaan met informatievoorziening noemt men vaak informatieplan, In een
informatieplan staat de visie beschreven op informatie en de
informatievoorziening in de organisatie.
Het automatiseringsplan is doelgericht. Hierin staan de jaarlijkse kosten die begroot zijn voor de IT in een directieplan.
Voor de onderbouwing verwijst het automatiseringsplan naar
het informatieplan.
Strategie en bedrijfsdoelen
Er bestaan diverse modellen om processen en
procedures binnen een organisatie weer te
geven. Door deze in te vullen en te analyseren
kunnen nieuwe doelstellingen worden opgesteld, met een bijbehorend plan om deze te verwezen lijken. Kritieke succesf actoren, randvoorwaarden, kosten, baten en verantwoordelijkheden krijgen hierin volop aandacht, zodat
de kans op onaangename verrassingen wordt
geminimaliseerd.
We beginnen bovenin en links in het midden van het model met
de inventarisatie van de strategie en de bedrijfsdoelen. Hiervoor
heb je een goede kennis van de organisatie nodig. Voor verschillende beleidsterreinen worden er beleidsnota’s geschreven, zoals
het Beheersplan Nat of Weg 2000. Voor IT is er het Handboek van
de MD. Een directie kan een eigen beleidsplan hebben, maar heeft
in ieder geval een directieplan. De vertaling van de strategie en
bedrijfsdoelen van Rijkswaterstaat horen in het directieplan te
staan.
Informatievoorziening speelt een belangrijke rol in zowel de uitvoerende bedrijfsprocessen als de besturingsprocessen. De behoefte aan informatie is echter niet statisch. Zij verandert in de tijd.
Processen
Onderscheiden worden werk- of productieprocessen, besturingsprocessen en ondersteunende processen.
vernieuwing?
Het maken van bestekken, liet ontwerpen van bijvoorbeeld liunstwerken, het maken van beleidsnota's, het uitvoeren van plaiistudies of het uitvoeren van waterbeheer of sluis- en bl-ugbediening
zijn alleinaal voorbeelden van werkprocessen in de liLVS-pial<tijl<.
Voorbeelden van besturiiigsprocessen in de RWS-prald$< zijn het
opstellen van een P-begroting en -beleid, Iiel bewaken van het
budget, het voorbereiden en voeren van stafoverleg en liet bijsturen van de uitvoering van werkzaamheden. Voorbeelden van
ondersteuiieiide processen zijn liet bijhouden van de administratie, het opstellen van een (financiële) rapportage, de postverspreiding en voortgangsbewalting, centrale en decentrale archiveriiig,
secreiariaatswerlzaamlieden en computersupport en -beheer.
I
~~~~~~~~~~~~~~~
Tenslotte moet men de hulpmiddeleii die de processen ondersteunen, in kaart brengen.
Een snelle methode om inzicht te krijgen in de s t a d van zaken
van de huidige hulpmiddelen, is een enquête te houden onder het
persoiieel (geliruiliers en beheerders) en hen per hulprniddel een
aantal vragen te laten invullen. Aan de hand van de resultaten kan
de kwaliteit van de applicaties zoals die eivaren wordt, eenvoudig
in een diagram weergegeven worden.
De syster-srslife cyek
Normaal gesprolten doorlopen hulpmiddelen, dus ook I'î-hulpmiddelen, in litin leven de volgende fasen:
initiatie en onlwihkeling;
invoel ing;
gebruik;
evaluatie.
Evaluatie van een liulpniiddel liari leiden tot de aanpassing of
afscliafhiig ervan of tot de oiitwilil<elingvan een nieuw hulpmiddel (iniliatie). Een hulpmiddel I a i i geëvalueerd worden als onderdeel van een iiiformatieplaii, maai' ook ais onderdeel van een
audit op iiet systeem en het gebruik.
Plan voor verandering
De hiervoor beschreven inventarisaties en analyses moeten tenslotte leiden tot een geïntegreerd veranderplan. In het plan kan
staan wat de gevolgen zijn van de strategie en bedrijfsdoelen voor
de huidige processen en voor de huidige hulpmiddelen, hoe de
gewenste situatie moet worden ingevuld, een plan van aanpak om
tot de gewenste situatie te komen en mogelijke knelpunten bij de
veranderingen (weerstand, budget, menskracht, etc.).
Bepaal van tevoren welke kritieke succesfactoren voor het maken
van het plan gelden. De kritieke succesfactoren die voor ieder veranderplan gelden, zijn de mate waarin het top- en middelmanagement erachter staan en de communicatie met alle medewerkers over.de betekenis van dit plan voor hun werk, de voortgang
van het plan, de uit te voeren projecten, etc.
Als de wensen en knelpunten op het vlak van informatievoorziening eenmaal in kaart zijn gebracht, zullen er keuzen gemaakt
moeten worden en prioriteiten worden gesteld.
Het vereist aparte aandacht om goed gebruik te maken van de
beschikbare technologie. Met andere woorden, de inzet van
kostbare NA-hulpmiddelen vraagt dezelfde aandacht van
management als het toepassen van hulpmiddelen op andere
terreinen van de bedrijfsvoering. Kostbare technologie kan h
pen indien:
je zorgt dat het past in het RWS-beleid;
e je de plannen afstemt op de bedr~j~doelsteElingen
van de e’
. directie;
,
* j e prioriteiten stelt en de kosten beheerst;
* je nieuwe ontwikkelingen planmatig aanpakt:
0 je voorziet hoe je het beheer en onderhoud regelt;
* j e weet welke wensen je wilt realiseren [en welke niet!),
!bsten
De kosten voor verbetering van de (geautomatiseerde) iiiformatievoorzieiiing zijn vaak redelijk goed te liwaiitificeren.
EenmaSige Btosten:
voorbereidingskostn voor bijvoorbeeld adviezen oJdejniiiestudies;
kosten van ontwikkeling of aanschrzf van pi.ogramniatuur en appautuux Denk ook aan benodigde ajippamiuur voor ontwikkeling;
.’ kosten van invoeringactiviteiten voor een nieuw systeem, zoals evenw e l het convertereen van gegevens, lesten, schaduwdraaien, het ontwikkelen van nieuwe procedures;
hosten van opleidingen en support. Uit kost immen tijd en productieverlies van de medewerkers;
invoerings- en opleidingshosten (tof 20% van de aanschiijilosten).
ti
k)
-?
!
:
kosten:
reken voor de beheerkosten minimaal 10% van de ontwilzhelkoslen;
onderhoudskosten zijn erg afhankelijk vun de kwaliteit van liei te
onderhouden systeem en de turbulentie in de gebruiksomgeving: zijn
er veel of weinig aanpassingen nodig?
PC-hosten, de Gartiier-groep hee{l berekend dat een standaard J’C
ongeveer f 12.000,- per jaar kost (cijJers 1338). Als de PC op een
netwerk is aangesloten, komt hier bijna f 5000,- per werkpleh per
jaar bij (inclusief printers, servers etc.). Oe gemiddelde hostenverdeling is als volgt:
15% hard- en software-aanschafj20sten
15% supporthosten
3 4% beheerkosten
56% gebruikskosten.
~~~~~~~~~~
i:
.j
Baten
De bateii van verbeterde (geautornatiseerde) iiiforniatievoorxiening zijn vaak veel moeilijker te kwantificeren daii de kosten.
Naast arbeidsvervaiigende baten, die ineestal wel zijn te liwantificeren, zullen bateii vaak ineer kwalitatief van aard zijn: verbetering
van de bedrijfsvoering, ineer klantgericht liunneli werlieri, etc.
Randvoorwaarden
Bij de prioriteitsstelling moet rekening worden gehouden met
randvoorwaarden. Als eerste moeten de wensen getoetst worden
op haalbaarheid. Zeker wat de automatisering betreft, is een toets
op technische haalbaarheid essentieel.
Check in hoeverre de producten die u wil inzetten, stabiel zgn. De
technische ontwikkeling gaat zeer snel, maar vele producten hebben nog maar nauwelQks het laboratorium verlaten.
* Past de technische oplossing bQ de bestaande technische infrastructuur [standaardisatie)
* Is het plan financieel haalbaar
Is het plan organisatorisch haalbaar; een organisatie en de mensen daarbinnen kunnen niet van de ene op de andere dag volledij!- veranderen.
I
Bedenk groeipaden waarbij stabiliteit en verandering met
elkaar in evenwicht zijn. Ga daarom in de planning stap-voorstap vooruit. En zorg voor voldoende draagvlak en motivatie
voor veranderingen. De gewenste situatie en de weg daar naartoe moeten door de meerderheid ook zo beleefd en ondersteund worden.
”Think big” geeft inspiratie en motivatie. “Act small” zorgt
voor concreet resultaat!
n
Geaewens en in1
Informatie ontstaat door gegevens op een
bepaalde wijze met elkaar te combineren. Door
verschillen in functies, taken en referentiekaders verschillen ook de informatiebehoefte en
interpretatie van gegevens. Door echter gegevens accuraat te behandelen en up=to-datete
houden, zijn ze geschikt om verwerkt te
worden tot informatie. Informatie die via een
goed ingerichte informatievoorziening één van
de belangrijkste bronnen vormt voor bestuur,
beleid en productie.
et is zinvol om onderscheid te maken tussen de begrippen
gegevens’ en ’informatie’, hoewel ze in het normale
spraakgebruik vaak door elkaar gebruikt worden.
Gegevens zijn (symbolische) weergaven van objecten, feiten of
gebeurtenissen. Het is de ordening, bewerking en presentatie van
gegevens die tot informatie leidt. Informatie voegt iets toe aan de
kennis en het begrip van mensen, zodat zij op basis daarvan bijvoorbeeld beslissingen kunnen nemen. Een gebruiker moet altijd
wel iets doen, als hij gegevens krijgt. Hij moet ze interpreteren. Dat
wil zeggen dat hij de gegevens moet herleiden tot informatie waar
hij wat mee kan.
Hf
Problemen met gegeveins
Problemen met gegevens kunnen ontstaan bij:
* een verschil in definitie en vastlegging. Is dit het geval, dan kunnen
gegevens niet worden uitgewisseld. In de praktijk worden nu (bijna)
dezelfde gegevens vaak dubbel vastgelegd, bijvoorbeeld adresgegevens;
* de wijze van vastleggen van gegevens. Dit kan grote consequenties
hebben. is een adres samengesteld uit naam, straat + huisnummers,
postcode + woonplaats (drie velden), of splitst u alle velden uiteen in
naam, voorletters, straatnaam, huisnummer, postcode, woonplaats,
land (zeven velden), Voordelen van het opsplitsen zijn bijvoorbeeld,
dat u op alle aparte velden kunt sorteren en selecteren.
C, uitwisseling wan gegevens: Dit is vaak onmogelijk. Toch gaat het steeds
om dezelfde weg, met dezelfde structuur, ligging en worm.
Basisgegevens zoals wegnummers worden op tal van plaatsen dubbel
ingevoerd, met daarbij ook een dubbele kans op fouten;
* integraal beleid. Dit vraagt om integrale (management-)informatie.
Omdat de basis van de informatie in verschillende systemen veelal verschil, is het moeilijk om integrale informatie te genereren (bijvoorbeeld door het samenvoegen van wegschadegegevens en ongevalregistraties).
Goed omgaan met gegevens
Uit correcte gegevens kunt u actuele en betrouwbare informatie
afleiden. Ook bereikt u dat u met partners en collega’s over hetzelfde praat en goed communiceert.
b
rrnatie
I1
I
1
De RWS'er ontkomt er niet altijd aan dezelfde gegevens in diverse
systemen bij te houden. Bekeiide voorbeelden zijn projectgegevens
in zowel IAIS als PI%, contractgegeveiis in zowel Mempliis als
nestar of adresgegevens in diverse systemen. ílezeiftìe gegeveiis i>ijhouden iii verschillende systemen moet echter zo~7eelinogelijlc vermeden worden.
Goed omgaan met gegevens voorliomt duùbel werk, voorkomt
inconsistente eii onbetrouwbare informatie, veriioogt cic ìwaliteii
van de informatie eii voorkomt coniiiiuiiicatieprobleineii.
Wan gegevens naar rnform;44leavchitectu~~~
Om ervoor te zorgen dat de juiste informatie op de juiste plaats
en op het juiste moment beschikbaar komt, is iiiforinatieliuishouding nodig: een samenhdngeiid stelsel van infoi inatievoorziening en -systemen, regels, procedures eii veraiitwoordelijlcheden. IIet uitvoeren van het (meta-)gegeveiisbeheei is hierbij
een esseritiele functie.
Beheer van gerc
De automatisering van informatievoorziening
binnen V&W en RWS is aanvankelijk bottomup gegroeid. Nog steeds kent het beheer van
de automatisering gespreide verantwoordelijkheden, De verschillende beheerniveaus
kunnen in combinatie centraal of decentraal worden uitgevoerd of zelfs worden uitbesteed. Aan elke vorm kleven voor- en nadelen, die eerst onderkend moeten worden,
alvorens de beheerfuncties kunnen worden
ingevuId.
-
Soorten beheer
Er zijn verschillende soorten beheer te onderscheiden:
-
Functioneel beheer wordt bij de RWS en VenW op diverse manieren ingevuld. Zo is de MD functioneel beheerder van VenWnet,
RIKZ van DONAR, de BOF van FAIS en COMI-P, RSO van Bestar,
RIZA van WVOINFO. AI deze organisatiebrede systemen kennen
overlegorganen van gebruikers. Deze gebruiker noemt men bij de
directie de functioneel systeem beheerder. Er is hier sprake van een
centrale organisatie waarin de communicatie met de decentrale
beheerders via overlegorganen geregeld is. Voor eigen directie-systernen ligt het functioneel beheer meestal bij de gebruikersafdeling.
Applicatiebeheer:
houdt het wijzigen en documenteren van de hulpmiddelen in;
applicatiebeheer kun je uitbesteden aan een centrale afdeling.
Centraal beheer heeft diverse voordelen. Het is effici
relatief goedkoop doordat er minder menskracht n
ies luidt om beheer da
IT-organisatie directie
De laatste jaren is men bij Rijkswaterstaat - helaas niet altijd op
directieniveau - bezig geweest na te denken over de omvang,
positie en taak van .de centrale automatiseringsafdeling. Bij
Rijkswaterstaat is van oudsher veel beheerwerk gedecentraliseerd
naar de gebruikersorganisaties.
Minimum eisen IForganisatie binnen een directie:
weet wie waarvoor verantwoordelijk is;
* welke taken laat de directie centraal uitvoeren, leg deze taken vast
in een dienstverleningsoveremkomst;
* leg de plìchten van de gebruikers vasr in een huishoudelijk reglement;
* zorg voor inzicht i e plaats van de functjoneel systee
ders van landelijke systemen, bepaal kun bewegingsruimte in de
landelijke gebruikersoverleggen.
0
Centrale automatiseringsorganisatie
Naast een indeling naar soorten beheer is het ook mogelijk om de
beheertaken procesmatig in te delen. Denk aan methoden als ITIL,
waar we melding, probleembeheer, wijzigingsbeheer, configuratiemanagement onderscheiden. Deze procesmatige indeling is van
toepassing op alle soorten van beheer. Als je bijvoorbeeld technisch beheer zou uitbesteden, dan kan de afdeling of het bedrijf
die het technisch beheer uitvoert dit op ITIL-wijze inrichten.
Beveiliging var
Het doel van informatiebeveiliging is het scheppen van voorwaarden voor een betrouwbare
informatievoorziening. Om te komen tot een
geïntegreerd beveiligingsplan is het noodzakelijk
om eerst de bedrijfsprocessen en informatiesystemen te inventariseren. Vervolgens kunnen
deze volgens diverse methodieken geanalyseerd
worden, zodat er inzicht wordt verkregen in
hoeverre het gaat om kritieke informatiesystemen. Daarna kan het beveiligingsplan op centraal en decentraal niveau worden opgesteld.
at een manager in zijn of haar werk steeds afhankelijker
wordt van geautomatiseerde hulpmiddelen, is al eerder
aangestipt. In alle processen van de organisatie passen de
medewerkers geautomatiseerde hulpmiddelen toe.
D
Als manager
* moet je op de hoogte zijn van de wijze waarop geautomatiseerde hulpmiddelen je werkprocessen ondersteunen;
* moet je weten welke betrouwbaarheidseisenje stelt aan de hulpmiddelen en de opslag van gegevens;
moet je weten welke bedreigingen er zijn die de betrouwbaarheid bedreigen;
* moet je weten welke maatregelen je treft om de betrouwbaarheid te
waarborgen;
* moet je weten welke beveiligingsrnaatregelen uitgevoerd worden door
een centrale autornatiseringsufdeling en welke je zelf moet uitvoeren.
0
Beleid Ministerie van Werkeer en Waterstaat
Volgens een ministerieel besluit is ieder ministerie verplicht om
zich te houden aan het Voorschrift Informatiebeveiliging
Rijksdienst (VIR).Volgens de ViR is elk ministerie verplicht een
eigen beleid vast te stellen.. VenW heeft een decentraal beleid vastgesteld in 1995. Alleen voor ministeriebrede systemen is een verantwoordelijke aangewezen, de rest is een zaak van de
Directoraten-Generaal.
De volgende wetten zijn van toepassing:
* de Wet Persoonsregistratie (WPR);
0 de Wet Computercriminaliteit (WCC).
De WPR en de WCC zijn wetten die vastgesteld zijn in de Kamer.
De Directie Organisatie en Informatie (DOI) van VenW geeft hier
toelichtingen over uit.
ie informatievoorziening
VIR
Biniien de overheid is het Voorschrift Iiiformatiebeveiliging
Rijksdienst (Vin) van kracht. Volgens de VIR hoort een afdeling
een overkoepelend beveiligiiigsplan te hebben. Dit plan moet voldoen aan de VIR en hoort jaarlijks gereviseerd te worden, zodat het
wordt aangepast aan wijzigingen in de organisatie of het aantal
informatiesystemen. In dit plan moeten de organisatiebrede taken
zoals viruscontrole, exteriie back-ups eii liet calainiteitenplan verdeeld worden. Daarnaast kunnen er speciale beveiligiiigsplaiinen
voor iiiformatiesystemen gemaala worden. riet functioneel, technisch en applicatiebeheer moeteii per informatiesysteem geregeld
worden; centrale voorzieningen dienen beheerd te worden en
taken zoals liceiitiebeheer inoeten worden toegewezen.
sirifousrnraE.icábs:ir~~IICdisiM
Mei doel vaii iriformatiebeveiliging is vooiwaardeii te scheppen
voor betrouwbare informatievoorzieniiig. Dat betekent de zorg
voor beschikbaarheid, exclusiviteit en integriteit van inforinatie.
Hiervoor bepaal je in hoeverre het is toegestaan, dat een informatiesysteem niet beschikbaar is (1 uur, i dag, 3 dagen, i niaai-id ...).
Voor de exclusiviteit ga je na, hoe vertrouwelijlt de gegeveiis zijn
eii of er gegevens zijn waarop de WPR van toepassing is. Bij integriteit vaii informatie bepaal je lioe je oingaat met de niogelijliheid dat informatie niet correct is en wat de gevolgen zijn als
iníormatie niet juist is. I-let is belangrijk oin de spelregels voor
gebruikers vast te leggen in een huishoudelijk reglement.
t
In de spelregeis kan worden vastgelegd dat:
gebruikers de viruscontrole altijd aan moeten laten staan;
zo verplichl ztjn beveiìigingsincidenten dooi. te geven a m de
daartoe aangewezen persoon;
zij zelf geen programmutuur mogen installeren (geen spelletjes);
zij de i'c niet zelf mogen verplaatsen;
zij netwerknansluilingen niet zelf mogen wijzigen;
zij geen progi-umrnaluul- mogen kopiëren voor eigen gebruih.
,b
,
I
:i
"8
6,
Afhankelijkheids- & Kwetsbaarheids-analyse (A&K-analyse)
Globaal zijn de stappen in de AQK-analyse:
1 analyseer de processen in de organisatie (of in de afdeling);
2 inventariseer de informatiesystemen (ook handmatige);
3 wijs de informatiesystemen toe aan de processen;
4 stel betrouwbaarheidseisen op per informatiesysteem;
5 inventariseer bedreigingen die de betrouwbaarheid in gevaar
brengen (ook per informatiesysteem);
G bepaal maatregelen die de bedreigingen moeten pareren (ook
per informatiesysteem).
AúK-analyse binnen een directie
Omdat een directie al snel 150 tot 200 systemen gebruikt is
Certificering
I
Beveiliging is goed te integreren iii een kwaliteitssysteem.
Een kwaliteitssysteem bestaat uit een aantal onderdeleii:
: een handboek waarin de overhoepelende zahen zijn vastgelegd, ondertekend door de leiding;
: een jaarlijks kwriliteitsplan waarin op basis van ervaringen een aantal
verbetervoorsiellen wordt vastgelegd;
procedures waarin beschreven stalil welke stappen bij welhe processen
doorlopen worden, luie waarvoor verantwoordelqk is en wat er opgeleverd moei worden;
werkinstructies voor het uitvoerend personeel met daarin tips voor de
uitvoering van hei werk;
* > standaaids voor documentatie, standaard voor technische inrichting,
standaards voor hoe te werken (oniwerpstandaaids bijvoorbeeld).
' 1
CJ
Voor iiifoi-inatiebeveiliging is het boek 'Code voor
informatiebeveiligiiig' verscheiieii. Dit is gebaseerd op de Engelse
'Code of Practice', 1Iet is mogelijk je op deze code te laten certificeren voor inforrnatiebeveiligiiig. Flet is geen EO-,
maar een Britse
norm die in Nederland is erkend (BS 7799). De Beheer
Organisatie MIS en het 1 N S Beheer Centrum waren in Nederland
de eerste organisaties die dit certificaat beliaalden (1997).
I
Informatie:
Dit is een uitgave van het
Ministerie van Verkeer en
Waterstaat, Rijkswaterstaat,
Directie Kennis.
© Copyright 2024 ExpyDoc
