Besluit Voorschrift informatiebeveiliging Rijksdienst 2007 (VIR)
Het intensieve gebruik van informatie- en communicatietechnologie maakt de informatievoorziening van de overheid kwetsbaar. In het Voorschrift informatiebeveiliging rijksdienst 2007 (VIR 2007) stelt de minister van Algemene Zaken daarom een aantal basisregels aan de informatiebeveiliging.
Ook de archiefwetgeving stelt - indirect - basiseisen aan de informatiebeveiliging. Want om het archief 'duurzaam toegankelijk' te houden, is wel passende beveiliging nodig.
Bindend voorschrift
Het VIR is een bindend voorschrift voor de ministeries en de daaronder vallende 'diensten, bedrijven en instellingen'. Met de laatste zijn niet de zelfstandige bestuursorganen met eigen rechtspersoonlijkheid bedoeld, hoewel zij het voorschrift ook mogen toepassen.
Het voorschrift beschrijft informatiebeveiliging als 'het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen'. Wat het VIR onder 'informatiesystemen' verstaat, is in art. 1, tweede lid omschreven.
Doelstellende regeling
Het VIR is een doelstellende regeling, die voor de uitvoering veel overlaat aan de departementsleiding en het lijnmanagement. De departementsleiding stelt eisen aan de sturing en de beheersing van de informatiebeveiliging. Het lijnmanagement stelt op basis van een risicoanalyse de betrouwbaarheidseisen voor zijn informatiesystemen vast. Ook is het verantwoordelijk voor de uitvoering van de beveiligingsmaatregelen en de evaluatie daarvan. De informatieketen is hierbij een belangrijk punt van aandacht. Binnen een ministerie zorgen de beveiligingsambtenaar en de auditteams voor de uitvoering van het beleid en de beveiligingsmaatregelen.
Voor de tekst van het VIR 2007, zie Besluit Voorschrift informatiebeveiliging rijksdienst 2007. Voor de beveiliging van staatsgeheimen en andere bijzondere informatie bestaat een aanvullend voorschrift; het Voorschrift informatiebeveiliging rijksdienst – bijzondere informatie (Vir-bi) (2013).