RODIN Referentiekader

Uit ArchiefWiki
Ga naar: navigatie, zoeken

Werk in voorbereiding
Deze pagina is nog niet af

1 Beleid en Organisatie ja nee deels opmerking afgeleid van
1.1 De organisatie heeft een door het bestuur en/of management vastgesteld informatiebeleid dat aansluit bij de geformuleerde organisatiedoelstellingen. AR: 19;
15489: 5, 6.1, 6.2, 7.1
a. het voldoen aan de wettelijke eisen voor het bewaren van informatie
b. een beschrijving van de relatie tussen de bedrijfsprocessen en de opgenomen informatie;
c. een beschrijving van of verwijzing naar de bewaarstrategie van de organisatie die rekening houdt met conversie, migratie of emulatie in geval van veranderende (technische) omstandigheden; ED3: A3.7, B3.1
d. een beschrijving van het beveiligingsbeleid waarin taken en verantwoordelijkheden voor informatiebeveiliging zijn belegd NEN-ISO/IEC 27002
1.2 De organisatie is in staat verantwoording af te leggen over alle activiteiten ten behoeve van de werking en het beheer van de digitale beheeromgeving op basis van toetsbare eisen van een door haar toe te passen kwaliteitssysteem. AR: 16;
ED3: A3.6
1.3 De organisatie heeft de processen en procedures voor de digitale beheersomgeving beschreven. ED3: A2.1
1.4 De organisatie ondergaat periodiek (externe) audits en/of certificering op het gebied van de digitale beheersomgeving. 15489: 10
1.5 De taken, verantwoordelijkheden en bevoegdheden voor de digitale beheeromgeving waaronder: digitalisering, duurzame toegankelijkheid, archiefbeheer en betrouwbaarheid van informatie zijn vastgelegd en belegd.
Tevens is op basis hiervan de continuïteit gewaarborgd in het geval van organisatiewijziging.
AW: 4;
15489: 6.3;
Baseline IR: Norm 2
1.6 De digitale beheeromgeving is opgenomen in de meerjarenbegroting van de organisatie, waarbij voldoende middelen beschikbaar worden gesteld om de continuïteit ervan te waarborgen. AW: 3 memorie van toelichting;
ED3: A4.1
1.7 De organisatie beschikt over voldoende medewerkers, met voldoende kennis en competenties, om al haar taken en verantwoordelijkheden op het gebied van de digitale beheeromgeving te kunnen uitvoeren. AW: 3 memorie van toelichting;
15489: 6.3, 11;
ED3: A2.2
2 Informatiebeheer ja nee deels opmerking afgeleid van
2.1 Alle digitale archiefstukken worden geklasseerd op basis van een classificatieschema/ordeningsstructuur. 2082: 25, 26;
15489: 9.3, 9.5
2.2 Het systeem kent automatisch een uniek identificatiekenmerk toe aan alle onderdelen die op basis van het classificatieschema/de ordaningsstructuur worden vastgelegd, bijvoorbeeld aan zaaktypen/processen, zaken en digitale archiefstukken. NEN-ISO 2082: 2
2.3 Alle Het systeem kan in het classificatieschema veranderingen aanbrengen en bij deze wijzigingen moet de consistentie binnen het schema alsmede tussen het schema en de archiefbestanden gewaarborgd blijven. 2082: 140, 141
2.4 Van alle archiefstukken wordt tenminste de volgende informatie in de metadata vastgelegd: AR: 17, 21, 24, 26.2
a. Inhoud, structuur, verschijningsvorm en gedrag;
b. Wanneer, door wie en waarom de archiefstukken zijn opgemaakt en werden ontvangen;
c. Samenhang met andere beheerde archiefstukken; 2082: 4, 82, 121
d. Uitgevoerde beheeractiviteiten;
e. Actuele en oorspronkelijke technische aard, ook van de hard- en softwareomgeving;
f. Aard van de digitale handtekening (indien aanwezig);
g. Wijze van versleuteling (algoritme) en decryptiesleutel (indien van toepassing).
2.5 Metadata worden op gestandaardiseerde wijze toegekend, bijvoorbeeld met behulp van standaard woordenlijsten AR: 24;
23081
2.6 Het systeem gebruikt een door het bestuur en/of management vastgesteld autorisatieschema waarmee alle gebruikerstaken en beheeractuiviteiten als rollen aan medewerkers worden toegekend. 2082: 99
2.7 Digitale archiefstukken worden opgeslagen in door het bestuur aangewezen, valideerbare en volledig gedocumenteerde bestandsformaten, die voldoen aan een open standaard, tenzij dit redelijkerwijs niet kan worden verlangd. AR: 26.1;
2082: 20
2.8 Alle De koppeling tussen een digitaal archiefbestanddeel (op elk aggregatieniveau) en de daarbij behorende metadata moet tot het moment van verwijdering kunnen worden gereconstrueerd. AR: 24;
2082: 22
2.9 Het systeem importeert, converteert, migreert en exporteert digitale archiefstukken en de bijbehorende metadata uitsluitend met behoud van de authenticiteit, betrouwbaarheid, integriteit en bruikbaarheid op elk aggregatieniveau. 2082: 36
2.10 De integriteit en leesbaarheid van digitale archiefstukken kan worden vastgesteld, gecontroleerd, gedocumenteerd en geborgd tegen ongeautoriseerde wijzigingen en beschadigingen. 2082: 9, 12,32;
AR: 26.3
2.11 Door middel van een zoekopdracht kunnen alle digitale archiefstukken en hun metadata op elk aggregatieniveau worden getoond, met inachtneming van autorisaties. 2082: 42, 46
2.12 De bewaartermijn van digitale archiefbescheiden wordt automatisch op elk aggregatieniveau vastgelegd. De bewaartermijnen worden nageleefd met inachtneming van wettelijke selectietermijnen, -procedures en vervolgacties (vernietigen, overdragen of exporteren). 15489: 6.9, 9.2;
2082: 62, 65, 69
2.13 Ter waarborging van de samenhang en volledigheid wordt een waarschuwing gegeven wanneer er een link of wijziging bestaat tussen verschillende digitale archiefbestanddelen op alle aggregatieniveaus, waarvan een onderdeel op het punt staat te worden vernietigd, overgedragen of geëxporteerd en het andere niet. 2082: 76
2.14 Vernietiging van archiefstukken moet zo gebeuren dat deze op geen enkele wijze kunnen worden gereproduceerd. 2082: 80
3 ICT-Beheer en -Beveliging ja nee deels opmerking afgeleid van
3.1 De organisatie doet aan systematische risicoanalyse voor factoren als data, systemen, personeel, fysieke locatie en beveiligingseisen. ED3: C3.1
3.2 De organisatie hanteert een beveiliginsplan m.b.t. informatiebeveiliging gebaseerd op de Code voor Informatiebeveiliging of vergelijkbare richtlijn. NEN-ISO/IEC 27002
3.3 De organisatie heeft een overzicht van de gehanteerde beveiligingsmaatregelen en laat periodiek (extern) toetsen of de mate van beveiliging nog passend is.
3.4 De organisatie beschikt opver een passende back-upstrategie, clamiteiten- en herstelplan. Zie bijvoorbeeld calamiteitenbeheer ITIL (versie 2) ED3: C3.4
3.5 De organisatie maakt periodiek back-ups van alle opgeslagen informatie en bewaart deze informatie in een kluis op een andere locatie. Zie bijvoorbeeld calamiteitenbeheer ITIL (versie 2)
3.6 Back-ups en herstelplannen worden periodiek gecontroleerd op juiste werking. AR: 16;
ED3: C1.3
3.7 De organisatie heeft de taken en verantwoordelijkheden voor functioneel beheer, applicatiebeheer en technisch beheer belegd en ingericht voor de digitale beheeromgeving op basis van gangbare beheerstandaarden. Zoals bijvoorbeeld beheerstandaarden ITIL, ASL (NEN 343) en BiSL NEN-ISO/IEC 27002
3.8 De organisatie steklt in een Service Level Agreement (SLA) eisen aan de interne of externe ICT-dienstverlener ten aanzien van beveiliging en beheerprestaties. NEN-ISO/IEC 27002
3.9 De organisatie heeft een adequate serverruimte met onder meer klimaatbeheersing, alarm en brandmeldvoorziening, toegangscontrole, ordelijke bekabeling en noodstroomvoorziening (UPS). Handboek ICT, Huisvesting en Bekabeling, deel 1, hoofdstuk 5