ISM Reference

ISM Terminologie: Cybersecurity Begrippenkader

📊 Fundament 👥 All Security Professionals ⏱️ 8 min lezen
Sender SPF EOP Rules Mailbox Email Flow Map 4-layer protection | 12,456 emails/day
Executive Summary

De ISM Terminologie vormt het fundament voor een gedeeld begrippenkader rondom informatiebeveiliging en cybersecurity binnen Nederlandse overheidsorganisaties. Door kernbegrippen eenduidig te definiëren en consequent toe te passen in beleid, procedures, architectuurbeschrijvingen en communicatie, wordt voorkomen dat verschillende afdelingen en rollen dezelfde termen anders interpreteren. Dit verkleint de kans op misverstanden bij risicoanalyses, audits, incidentafhandeling en besluitvorming. Een uniform begrippenkader maakt het eenvoudiger om kaders als de BIO, het ISM en aanpalende wet- en regelgeving in de praktijk toe te passen, omdat iedereen weet wat met termen als risico, dreiging, kwetsbaarheid, maatregel, controle en restrisico precies wordt bedoeld. Voor bestuurders en directies betekent dit dat rapportages beter vergelijkbaar en beter uitlegbaar worden, terwijl security officers en architecten een solide basis krijgen om beleid te formuleren en te toetsen. Voor operationele teams creëert dit duidelijkheid in taken en verantwoordelijkheden, omdat de gebruikte terminologie in processen, draaiboeken en tooling met elkaar in lijn is. De ISM Terminologie is daarmee geen theoretische woordenlijst, maar een praktisch instrument om de besturing van informatiebeveiliging te professionaliseren en te standaardiseren binnen de Nederlandse Baseline voor Veilige Cloud.

Cybersecurity Terminologie

Een goed functionerend stelsel van informatiebeveiliging begint met een gemeenschappelijke taal. In veel organisaties blijkt in de praktijk dat begrippen als risico, dreiging, kwetsbaarheid, maatregel, controle, incident en gebeurtenis door verschillende teams en rollen anders worden geïnterpreteerd. Waar de ene afdeling met risico vooral financiële schade bedoelt, denkt een andere afdeling aan verstoring van dienstverlening of reputatieschade. Ook woorden als mitigeren, behandelen en accepteren worden niet altijd op dezelfde manier gebruikt. Dit lijkt op het eerste gezicht een detail, maar in de dagelijkse praktijk leidt het tot misverstanden in rapportages, onduidelijke besluiten in stuurgroepen en discussies over de reikwijdte van maatregelen.

De ISM Terminologie biedt hiervoor een gestructureerde oplossing door eenduidige definities vast te leggen voor de kernbegrippen van cybersecurity en informatiebeveiliging. Deze definities sluiten aan op de Nederlandse context, de Baseline Informatiebeveiliging Overheid (BIO) en de Nederlandse Baseline voor Veilige Cloud. Het uitgangspunt is dat een risico altijd wordt beschreven als de combinatie van een dreiging die een kwetsbaarheid kan uitbuiten, met een mogelijke impact op de organisatiedoelstellingen. Een dreiging is daarbij een potentiële gebeurtenis of actor die schade kan veroorzaken, terwijl een kwetsbaarheid gaat over een zwakte in processen, technologie of menselijk handelen die door die dreiging kan worden benut. Een maatregel of controle is vervolgens de georganiseerde respons van de organisatie om de kans, de impact of de detectie van een risico te beïnvloeden.

Door deze begrippen scherp te definiëren, ontstaat er een gezamenlijke basis die door bestuur, management, security officers, auditors, architecten en operationele beheerteams kan worden gebruikt. Beleidsdocumenten verwijzen naar dezelfde definities als architectuurrichtlijnen, risicoanalyses en auditrapporten. Dit maakt het eenvoudiger om conclusies uit verschillende onderzoeken met elkaar te vergelijken en om over meerdere jaren na te gaan of de organisatie daadwerkelijk professioneler is geworden in haar beveiligingsaanpak. Ook maakt het de communicatie met externe partijen, zoals toezichthouders, leveranciers en ketenpartners, transparanter, omdat er minder ruimte is voor interpretatieverschillen.

De ISM Terminologie gaat verder dan alleen een lijst met woorden. Bij elk begrip wordt niet alleen een korte definitie gegeven, maar ook de context waarin het begrip in de praktijk wordt gebruikt. Zo wordt bijvoorbeeld toegelicht hoe het begrip risico wordt toegepast in risicoregisters, in rapportages aan het management en in de besluitvorming over investeringen. Bij het begrip dreiging wordt beschreven hoe dreigingsinformatie van bijvoorbeeld het NCSC of sectorale CERTs kan worden vertaald naar concrete risico’s voor de eigen omgeving. Bij kwetsbaarheid wordt de link gelegd met technische kwetsbaarhedenscans, configuratiebeoordelingen en bewustwordingsprogramma’s voor medewerkers.

Daarnaast helpt een consistente terminologie bij de inrichting van tooling. In veel platforms voor risico- en compliancemanagement, security monitoring of ticketafhandeling wordt gebruikgemaakt van velden en categorieën die rechtstreeks teruggrijpen op de gebruikte begrippen. Als de organisatie geen uniforme definities hanteert, wordt het moeilijk om over verschillende systemen heen betrouwbare analyses te maken. Door de ISM Terminologie als uitgangspunt te nemen bij de inrichting van tooling, kunnen gegevens uit verschillende bronnen beter worden gecombineerd en ontstaat er een samenhangend beeld van de beveiligingspositie.

Ook voor opleiding en bewustwording biedt de ISM Terminologie belangrijke voordelen. Nieuwe medewerkers, externe specialisten en leveranciers kunnen sneller instromen wanneer zij een duidelijke en toegankelijke beschrijving hebben van de gebruikte begrippen binnen de organisatie. Opleidingsprogramma’s, e‑learningmodules en handreikingen voor management kunnen rechtstreeks verwijzen naar de terminologie, zodat iedereen dezelfde taal spreekt wanneer er wordt gesproken over risicoacceptatie, restrisico, mitigatieplannen of incidentrespons. Dit draagt direct bij aan de volwassenheid van de organisatie op het gebied van governance, risk en compliance.

Ten slotte ondersteunt de ISM Terminologie de overgang naar cloud- en SaaS‑diensten, zoals Microsoft 365 en Azure. In een cloudomgeving verschuiven verantwoordelijkheden tussen leverancier en afnemer en wordt het nog belangrijker om scherp te zijn op definities. Het moet helder zijn wat onder gedeelde verantwoordelijkheid wordt verstaan, welke risico’s door de cloudleverancier worden afgedekt en welke risico’s expliciet bij de overheidsorganisatie blijven. Door dezelfde begrippen systematisch te gebruiken in contracten, verwerkersovereenkomsten, architectuurbeschrijvingen en securitybaselines, wordt de governance rondom cloudbeveiliging aanzienlijk versterkt. De ISM Terminologie fungeert daarmee als ruggengraat voor alle documentatie binnen de Nederlandse Baseline voor Veilige Cloud.

Conclusie

De ISM Terminologie levert een onmisbare basis voor professionele informatiebeveiliging binnen Nederlandse overheidsorganisaties. Door kernbegrippen rondom risico’s, dreigingen, kwetsbaarheden en maatregelen eenduidig te definiëren, ontstaat een gemeenschappelijke taal voor bestuurders, security officers, architecten en operationele teams. Dit maakt rapportages beter vergelijkbaar, ondersteunt gefundeerde besluitvorming en verkleint de kans op misverstanden tijdens audits en incidentafhandeling. Wanneer deze terminologie consequent wordt toegepast in beleid, procedures, architecturen, contracten en tooling, groeit de organisatie naar een hoger volwassenheidsniveau op het gebied van governance en risicobeheersing. Daarmee vormt de ISM Terminologie een essentieel onderdeel van de Nederlandse Baseline voor Veilige Cloud en een praktisch instrument om beveiliging structureel te verankeren in de dagelijkse sturing van de organisatie.

Executive Aanbevelingen
  • Neem de ISM Terminologie formeel op als voorkeursbegrippenkader voor alle informatiebeveiligingsdocumentatie binnen de organisatie, zodat iedereen dezelfde taal spreekt.
  • Stuur actief op consistent gebruik van begrippen in beleid, rapportages, risicoanalyses, architectuurbeschrijvingen en contracten, zodat interpretatieverschillen worden voorkomen.
  • Investeer in bewustwording en scholing voor bestuurders, security professionals en operationele teams, zodat zij de definities kennen en deze herkenbaar terugzien in processen en tooling.
ISM Terminology Definitions