Beslisboom maakt einde aan twijfel over open standaarden

‘Er is een bepaalde vorm van ICT of er wordt ICT beoogd om in te kopen, aan te besteden of op een ander manier aan te schaffen. Wie is de eigenaar of de opdrachtgever?’ Dit is de eerste vraag in de beslisboom van Forum Standaardisatie, waarmee je achterhaalt welke open standaarden relevant zijn voor de ICT in jouw organisatie.

In zeven stappen naar relevante standaarden

Het is beslist geen beslisboom zoals die waar cabaretière Katinka Polderman het patent op heeft, zo’n op het oog chaotisch geheel van pijltjes, lijntjes, vakjes en een ja/nee-structuur die leidt tot een definitief antwoord op de vraag ‘mag u schreeuwen tegen uw ondergeschikte?’ of ‘kunt u nu eindelijk gaan slapen of valt er nog wat te piekeren?’ De beslisboom van Forum Standaardisatie oogt juist uiterst overzichtelijk: aan de hand van zeven stappen worden er open standaarden weggestreept tot alleen die standaarden overblijven die van belang zijn voor de ICT in kwestie.

Voorbeeld: provincie wil real time cyberdreigingsgegevens delen

Een voorbeeld: de provincie opdrachtgever van een nieuw aan te schaffen ICT-voorziening, die gegevens over cyberdreigingen uitwisselt via een website, en het gaat om gestructureerde berichten die automatisch worden verwerkt, maar ook om documenten en spreadsheets. Beveiliging en privacy spelen een rol bij deze nieuwe voorziening. In stap zes beantwoordt de provincie enkele specifieke vragen over de ICT-voorziening, zoals ‘beschikt de voorziening over een IP-adres?’ (ja) en ‘Moet de voorziening toegankelijk zijn voor mensen met een functiebeperking?’ (ja!) In stap zeven rolt er een lange lijst aan open standaarden uit waaraan de voorziening moet voldoen, waaronder DNSSEC, HTTPS en HSTS, NEN-ISO/IEC 27001 en IEC 27002, standaarden de veiligheid van de voorziening vergroten en en STIX en TAXII, standaarden waarmee in real time cyberdreigingsinformatie te delen. Met deze lijst in de hand kan de provincie vervolgens eisen opstellen voor de leverancier.

Aanvullende hulpmiddelen

Aanvullend op de beslisboom gebruikt de fictieve provincie de handreiking Vragen om open standaarden bij aanschaf, waarin voorbeeld-bestekteksten staan voor veel voorkomende standaarden. Voor de BIO, het basisnormenkader voor informatiebeveiliging, heeft het Centrum voor Informatie en Privacybescherming (CIP) een ICO Wizard gemaakt. Die zorgt ervoor dat bij inkoop op basis van de BIO tijdig de juiste veiligheidsnormen in beeld komen. Zo kan de provincie deze veiligheidsnormen opnemen in het programma van eisen van een aanbesteding.

Forum Standaardisatie geeft een toelichting op de Beslisboom Open Standaarden op GovTech Day 2023.