Het deel dat beschermt wat de andere opbouwden.
Deel 1 tot en met 4 beheren de informatie: ze zorgen dat het juiste wordt geproduceerd, gestuurd, uitgewisseld en geaccepteerd. Deel 5 doet de andere helft. Het beschermt die informatie: het bepaalt wat gevoelig is, wie het mag zien, en wat er gebeurt als het misgaat.
De beveiligingsbewuste aanpak is geen toevoeging voor defensieprojecten. ISO 19650-5 geldt voor elk project. Wat per project verschilt, is hoeveel ervan in werking treedt, en dat wordt bepaald door één eerste stap: de triage. Ongeveer zestien minuten lezen.
Hoe beschermen we gevoelige informatie zonder het hele project op slot te zetten?
U triëert het. Voordat de ILS wordt uitgebracht, toetst de aanbestedende partij elke categorie informatie die het project produceert aan één vraag: kan compromittering schade veroorzaken? De meeste categorieën leveren nee op en stromen ongewijzigd door de standaard-CDE. Een minderheid levert ja op, en die worden geclassificeerd en krijgen maatregelen in verhouding tot de schade. De triage is de eerste stap in 19650-5, en het document dat eruit voortkomt stuurt alles wat beveiliging de rest van het project doet.
Stap 1, identificeer elke categorie
Maak een lijst van elk soort informatie dat het project produceert, uitwisselt of opslaat: architectuur-, constructie- en installatiemodellen, tekeningen, schema's, specificaties, rapporten, foto's, kostendata, de planning. Niets is vrijgesteld van toetsing, dat is wat "geldt voor elk project" in de praktijk betekent.
Sommige categorieën spreken voor zich: lay-outs van beveiligingssystemen, dekkingskaarten van CCTV, specificaties van toegangscontrole, beoordelingen van constructieve kwetsbaarheid, infrastructuurplannen van datacentra. De triage is hoe u de categorieën opspoort die zich níet aandienen.
Stap 2, toets aan drie soorten schade
Vraag voor elke categorie of compromittering schade van drie soorten zou kunnen veroorzaken. Dat is de hele toets.
- Schade aan individuen, risico voor de fysieke veiligheid of schending van de privacy. Bekendgemaakte beveiligingslay-outs laten iemand een inbraak plannen; blootgestelde gegevens van gebruikers schenden de privacy.
- Schade aan organisaties, commercieel verlies, reputatieschade, concurrentienadeel. Kostendata die naar een concurrent lekt; ontwerp-IP dat zonder toestemming wordt gedeeld.
- Schade aan de nationale veiligheid, compromittering van defensie, kritieke infrastructuur of inlichtingencapaciteit. Militaire lay-outs of besturingssystemen van kerncentrales die worden blootgesteld.
Een categorie is gevoelig als compromittering schade van een van de drie soorten zou kunnen veroorzaken. Nee op alle drie, en de categorie volgt de standaard-CDE-stroom. Ja op een, en de categorie gaat door naar classificatie.
Stap 3, classificeer de gevoelige minderheid
Gevoelig is niet één ding. De standaard kent vier niveaus, elk met een eigen plafond aan schade.
- Standaard, geen specifieke gevoeligheid, verwaarloosbare schade. Openbare plattegronden, marketingrenders, landschapslay-outs.
- Gevoelig, beperkte schade: financieel verlies of reputatieschade. Installatielay-outs, constructieve belastingen, apparatuurspecificaties, kostendata.
- Zeer gevoelig, ernstige schade: fysiek gevaar of groot verlies. Beveiligingssystemen, CCTV, toegangscontrole, beveiligde ruimtes, stroomvoorziening van datacentra.
- Kritiek, kan levens of de nationale veiligheid in gevaar brengen; maximale maatregelen. Militaire lay-outs, besturing van kerncentrales, defensiecommunicatie.
Elke gevoelige categorie wordt vastgelegd met een schriftelijke onderbouwing en een akkoord van een goedkeurder, zodat de classificatie verdedigbaar is en geen gevoel.
Stap 4, maatregelen naar verhouding
Het niveau bepaalt de maatregelen. Dit is de kern van de beveiligingsbewuste aanpak: een categorie geclassificeerd als Zeer gevoelig krijgt strengere toegang, versleuteling, screening en audit dan een categorie geclassificeerd als Gevoelig, en Standaard-informatie wordt niet belast met maatregelen die ze niet nodig heeft. De volledige matrix staat hieronder; het principe is één regel. Proportioneel, nooit over de hele linie.
Daar stopt de triage niet. Hij wordt vastgelegd, opgenomen in de ILS en de BUP, en vervolgens beoordeeld bij elke fasepoort en telkens als de scope verandert, want wat gevoelig is op een project blijft zelden gelijk.
VerdiepingHet triageteam, de maatregelenmatrix, voorrang van regelgeving en het beoordelingsschema
Wie de triage uitvoert
ISO 19650-5 legt de triage bij de aanbestedende partij, ondersteund door een vast samengesteld team. Het wordt niet aan het deliveryteam overgelaten om uit te zoeken.
| Rol | Waarom ze aan tafel zitten |
|---|---|
| Client Security Officer | Eigenaar van de beveiligingshouding van de opdrachtgever; voorzitter van de triage |
| Information Security Advisor | Brengt de kennis van dreiging en maatregelen in |
| BIM-adviseur / BIM-manager | Brengt gevoeligheid in kaart op informatiecategorieën en de CDE |
| Vertegenwoordiger PM-adviseur | Draagt de triage door naar planning en inkoop |
| Vertegenwoordiger hoofdadviseur ontwerp | Weet wat het ontwerp daadwerkelijk produceert |
| Vertegenwoordiger sectortoezichthouder | Alleen waar een sectortoezichthouder van toepassing is |
De matrix van proportionele maatregelen
Elk classificatieniveau trekt een vaste set minimale maatregelen over acht gebieden. Deze tabel is de beveiligingsbewuste aanpak concreet gemaakt; lees een kolom van boven naar beneden om te zien wat een niveau allemaal vereist.
| Maatregelgebied | Standaard | Gevoelig | Zeer gevoelig | Kritiek |
|---|---|---|---|---|
| CDE-toegang | Alle teams via RBAC | Met naam genoemde personen, need-to-know | Afgeschermde CDE-zone, akkoord manager | Geïsoleerd / air-gapped, gescreend personeel |
| Authenticatie | Wachtwoord (MFA aanbevolen) | MFA vereist | MFA + apparaatcertificaat | MFA + biometrie / clearance |
| Versleuteling | Standaard TLS | Versleuteld tijdens transport | In rust + tijdens transport | End-to-end, geen toegang op afstand |
| Downloadbeheer | Standaard | Alle downloads gelogd | Beperkt, voorzien van watermerk | Geen downloads, geen USB, geen print |
| Audit | Standaard trail | Uitgebreid, periodieke beoordeling | Audit per kwartaal + toegangsbeoordeling | Continue monitoring |
| Personeel | Standaard onboarding | NDA getekend | Uitgebreide screening + NDA | Security clearance vereist |
| Fysiek | Standaard kantoor | Beperkte zichtbaarheid van het scherm | Beveiligde ruimte voor toegang | Air-gapped faciliteit, CCTV |
| Vernietiging | Standaard verwijdering | Veilige verwijdering gelogd | Gecertificeerde vernietiging | Vernietiging onder toezicht + certificaat |
Een project kan er eigen maatregelen bovenop leggen, vereist door de opdrachtgever, een sectortoezichthouder of lokale wetgeving.
Waar lokale wetgeving de standaard overstijgt
De triage toetst de eisen aan de toepasselijke regelgeving: wetgeving voor gegevensbescherming, nationale cyberbeveiligingsnormen, regionaal databeleid, regels van financiële zones en vrije zones, sectortoezichthouders. De regel als ze botsen is eenvoudig: waar een lokale eis verder gaat dan ISO 19650-5, geldt de lokale eis. De standaard is een ondergrens, geen bovengrens.
Het beoordelingsschema
De triage is een levend document, geen eenmalig formulier. Hij wordt opnieuw uitgevoerd bij: de eerste initiatie, de fasepoorten Concept / Uitgewerkt ontwerp / Technisch ontwerp, de start van de bouw, elke scopewijziging, elke aanstelling van een nieuwe partij, en de oplevering aan de beheerfase. Zowel nieuwe informatiecategorieën als gewijzigde scope openen de vraag opnieuw.
De triage bepaalt wat u beschermt. Drie lagen bepalen hoe: de CDE zelf, de mensen die hem gebruiken, en het plan voor wanneer het misgaat.
Een classificatie omzetten in echte bescherming
Een classificatie in een register beschermt op zichzelf niets. Ze moet instellingen, handtekeningen en een getoetst plan worden. De proportionele maatregelen landen op drie plekken: de technische laag binnen de CDE, de personele laag rond de mensen, en de responslaag die klaarligt voor de dag dat het misgaat. Elke laag ontleent haar striktheid aan de triage.
Laag 1, CDE-beveiligingszones (technisch)
De CDE houdt informatie niet alleen in vier statussen vast (deel 1); voor gevoelige projecten houdt hij die vast in geneste beveiligingszones. Elke binnenste zone erft elke maatregel van de zones eromheen en voegt er een eigen aan toe.
Standaard → Gevoelig → Afgeschermd → Geïsoleerd. Een gebruiker in de Afgeschermde zone draagt ook de maatregelen van Standaard en Gevoelig. De zones sluiten direct aan op de classificatieniveaus: Standaard-informatie staat in de gewone mappen 01–04; Gevoelig in een gebied 05_SENSITIVE met toegang op naam en MFA; Zeer gevoelig in een gebied 06_RESTRICTED met versleuteling en watermerk; Kritiek in een geïsoleerde, vaak air-gapped ruimte.
De instellingen verscherpen naarmate u naar binnen gaat: MFA gaat van aanbevolen naar verplicht naar hardwaretoken naar biometrie; de sessietime-out verstrakt van 60 minuten naar 10; downloads gaan van toegestaan, naar gelogd, naar alleen-na-akkoord, naar geblokkeerd; de auditbeoordeling gaat van per kwartaal naar real-time. Dezelfde CDE, getrapte maatregelen.
Laag 2, screening en NDA's (personeel)
Mensen worden gescreend in verhouding tot wat ze te zien krijgen, en alleen de mensen die Gevoelige informatie of hoger raken. Wie uitsluitend aan Standaard-informatie werkt, volgt de gewone onboarding.
Toegang wordt nooit verleend op een functietitel; ze wordt verleend op een legitieme need-to-know, en de diepte van de screening klimt in drie niveaus. Toegang tot Gevoelig vereist identiteitsverificatie, een getekende NDA en bewustwordingstraining over beveiliging. Zeer gevoelig voegt een antecedentenonderzoek, referenties, een verklaring omtrent het gedrag, een uitgebreide NDA en geverifieerde apparaatbeveiliging toe. Kritiek voegt overheidsclearance, een volledig tienjarig onderzoek, een speciaal beheerd apparaat en biometrische toegang tot de faciliteit toe. Elke persoon wordt beoordeeld, en de toegang wordt netjes ingetrokken bij vertrek: accounts uitgeschakeld, gecachte data verwijderd, NDA-verplichtingen die de deur uit meegaan.
Laag 3, het datalekplan (respons)
De laatste laag gaat ervan uit dat de eerste twee op een dag worden verslagen. Het datalekplan wordt geschreven, goedgekeurd en verspreid voordat de informatieproductie begint, niet opgesteld in de paniek van een echt incident, en getoetst met een tabletopoefening binnen de eerste maand.
Het bepaalt wat een datalek is, wie de incidentleider is, hoe snel er per ernst moet worden gereageerd, en de vijf fasen om er doorheen te komen: detecteren en indammen, beoordelen, melden, herstellen en leren. Het plan dat telt, is het plan dat al aan de muur hangt als het telefoontje binnenkomt.
VerdiepingDe screeningniveaus, het datalekprotocol en de NDA die mensen mee naar huis volgt
Screeningseisen per niveau
Lees een rij van links naar rechts om te zien hoe één eis oploopt met de gevoeligheid.
| Eis | Gevoelig | Zeer gevoelig | Kritiek |
|---|---|---|---|
| Identiteit | 1 vorm van ID | 2 vormen van ID | 2 vormen + overheidsclearance |
| Antecedentenonderzoek | Niet vereist | 5 jaar arbeidsverleden | 10 jaar volledig onderzoek |
| Strafrechtelijke toetsing | Niet vereist | Vereist | Vereist + financieel |
| Referenties | Niet vereist | 2 professionele | Uitgebreid |
| NDA | Standaard | Uitgebreid | Uitgebreid + toestemming voor monitoring |
| Briefing | Algemene bewustwording | Specifieke omgang | Contra-inlichtingen |
| Apparaat | Standaard | Versleuteld, beheerd, op afstand wisbaar | Speciaal beheerd apparaat |
| Fysieke toegang | Standaard kantoor | Standaard kantoor | Beveiligde faciliteit, biometrisch |
| Goedkeuring toegang | Discipline Lead + BIM-manager | Client Security Officer | Senior Client Rep. |
| Frequentie van beoordeling | Bij projecteinde | Elke 6 maanden | Elke 3 maanden |
Wat de NDA daadwerkelijk vastlegt
De geheimhoudingsovereenkomst wordt getekend voordat CDE-toegang wordt verleend, door iedereen die Gevoelige informatie of hoger raakt. Ze legt acht verplichtingen vast die het waard zijn uit het hoofd te kennen: toegang uitsluitend via de geautoriseerde CDE; nooit downloaden of cachen op persoonlijke apparaten, USB of persoonlijke cloud; alleen gebruiken voor de rol; aan niemand buiten de toegangsmatrix bekendmaken; nooit bespreken in het openbaar of op persoonlijke berichtenkanalen, WhatsApp, Telegram, persoonlijke e-mail; elk datalek of verloren apparaat onmiddellijk melden bij de incidentleider; bij vertrek alles wat in bezit is teruggeven of de vernietiging certificeren; en, de clausule die mensen vergeten, de verplichtingen blijven na de aanstelling van kracht, jarenlang (onbeperkt bij werk voor de nationale veiligheid) na de laatste toegang. Bij schending riskeert de persoon ingetrokken toegang, ontslag, civiele en strafrechtelijke aansprakelijkheid, en melding bij de toezichthouder.
Het datalekprotocol in vijf fasen
| Fase | Doel | De stappen die tellen |
|---|---|---|
| 1 · Detecteren & indammen | Stop de verspreiding, behoud het bewijs, eerste 60 minuten | Meld het bij de incidentleider; schort de getroffen toegang op; isoleer systemen; verwijder geen logs, e-mails of bestanden; start het incidentlogboek |
| 2 · Beoordelen | Stel omvang en ernst vast | Wat is gecompromitteerd, op welke classificatie, hoe, wie had toegang, wie ontving het; reconstrueer de tijdlijn uit de auditlogs; ken een ernst toe |
| 3 · Melden | Informeer de juiste partijen in de juiste volgorde | Eerst intern, dan toezichthouders binnen hun vereiste termijnen, persoonsgegevens "zonder onnodige vertraging", defensie "onmiddellijk", dan de getroffen individuen |
| 4 · Herstellen | Dicht het gat | Bevestig de hoofdoorzaak; verhelp die; geef alle inloggegevens opnieuw uit; corrigeer de toegangsmatrix; herclassificeer indien nodig; verifieer toegang van derden |
| 5 · Documenteren & leren | Maak het volgende datalek minder waarschijnlijk | Volledig incidentrapport; lessons-learned-sessie; actualiseer de triage en het datalekplan; brief de teams opnieuw; sluit af en archiveer |
De ernst bepaalt de klok en de escalatie: Laag, binnen 24 uur, CDE-beheerder en BIM-manager. Middel, 4 uur, met daarbij de PM en de security officer. Hoog, 1 uur, incidentleider, juridisch, en melding bij de toezichthouder. Kritiek, onmiddellijk, met de defensie- of inlichtingenautoriteit en de politie erbij.
Continu en proportioneel
Twee woorden dragen het geheel van 19650-5. Proportioneel: maatregelen matchen de schade, niet meer en niet minder, zodat het project werkbaar blijft terwijl de werkelijk gevoelige minderheid beschermd blijft. Continu: de triage wordt opnieuw uitgevoerd bij elke fasepoort, want een project dat bij het concept laaggevoelig was, kan hooggevoelig worden zodra de beveiligingssystemen en de details van het datacentrum binnenkomen.
Doe dit goed en beveiliging verdwijnt in het proces: een paar zones in de CDE, een paar NDA's, een plan in een la. Doe het verkeerd en het komt naar boven als een project waar niemand aan kan werken, of een incident waar niemand op voorbereid was.
VerdiepingDrie manieren waarop de beveiligingsbewuste aanpak faalt
De triage overslaan. De meest voorkomende fout, en de duurste. ISO 19650-5 geldt voor elk project; de triage is wat bepaalt welke maatregelen in werking treden. Sla hem over en u staat met lege handen, zonder gedocumenteerde, verdedigbare positie op de dag dat er een incident is, en zonder grond voor de toegangsbeslissingen die u al die tijd hebt genomen.
Alles op slot. De overcorrectie. Alles als gevoelig behandelen bedelft het team onder MFA-prompts, downloadblokkades en screening voor bestanden die toch al openbaar zijn. Maatregelen die niet bij de schade passen, worden omzeild, en de omzeilingen zijn het echte datalek.
Een plan dat nooit is getoetst. Een datalekplan dat geschreven, gearchiveerd en nooit geoefend is, is een plan dat niemand onder druk kan uitvoeren. De tabletop in de eerste maand is geen formaliteit; het is waar u de contactpersoon vindt die vertrokken is, de maatregel die nooit is ingesteld, de laptop die nooit is versleuteld, terwijl het nog goedkoop te herstellen is.
Verder lezen
- ISO 19650-serie, BSI, deel 5 behandelt de beveiligingsbewuste aanpak volledig.
- UK BIM Framework, richtlijnen voor beveiligingsbewust informatiemanagement.
Onthoudt u een handvol dingen, onthoud dan deze.
Het geldt voor alles. ISO 19650-5 is geen standaard voor alleen defensie. Elk project voert de triage uit; wat verschilt, is hoeveel ervan in werking treedt.
De triage is de eerste stap. Toets vóór de ILS elke informatiecategorie aan drie soorten schade. Geen schade → standaardstroom. Schade → classificeren en beheersen. De meeste blijft standaard; een minderheid is gevoelig.
Maatregelen komen naar verhouding. Vier niveaus, Standaard, Gevoelig, Zeer gevoelig, Kritiek, elk met een vaste set maatregelen voor toegang, versleuteling, screening, audit, fysieke beveiliging en vernietiging. Nooit over de hele linie.
Drie lagen maken van een classificatie bescherming. CDE-beveiligingszones (technisch), screening en NDA's (personeel), en een vooraf geschreven, getoetst datalekplan (respons).
Continu en proportioneel. Triëer opnieuw bij elke fasepoort. Match maatregelen aan de schade. Beveiliging ingebouwd in het proces, niet aan het eind aangeplakt.
Dat zijn de vijf delen. Hier is het hele plaatje.
Deel 1 legde het fundament, deel 2 voerde de leverfase uit, deel 3 droeg het de beheerfase in, deel 4 stuurde de uitwisselingen, en deel 5 beschermde het geheel. ISO 19650 houdt stand doordat de delen van elkaar afhangen: eisen cascaderen naar delivery, delivery naar beheer, alles uitgewisseld via de CDE en beschermd door de triage.
De hubpagina trekt de vijf samen tot één bestuurlijke samenvatting, met de diagrammen op één plek. Begin daar als u de kaart wilt, of zet de volgende stap.
- Lees de bestuurlijke samenvatting, de vijf delen op één pagina: de ISO 19650-gidshub.
- Download de Developer Pack, de 24 templates waarop deze gids is gebouwd, waaronder het Security Triage Report, het Breach Response Plan en de Personnel Security NDA. Op volgorde gezet voor de aanbestedende partij: haal de pack op.
- Praat met JES, 260+ BIM-professionals afgestemd op ISO 19650, in de VAE, Saoedi-Arabië, het VK, Duitsland en Nederland: plan een kennismakingsgesprek.
