In het organisatiedocument Informatieveiligheid hebben we het verschil (en de gelijkenissen) tussen informatiebeveiliging en bescherming van persoonsgegevens uitgelegd. We definiëren ook impactschalen vanuit het standpunt van de generieke organisatie en vanuit het standpunt van individuen (GDPR).
...
Definities van impact op de organisatie | |
Verwaarloosbare impact/schade
| |
Minimale impact/schade
| |
Belangrijke impact/schade
| |
Ernstige impact/schade
| |
Bedreigende impact/schade
|
...
Definities van impact op het individu | |
Verwaarloosbare impact/schade
| |
Minimale impact/schade
| |
Belangrijke impact/schade
| |
Ernstige impact/schade
| |
Bedreigende impact/schade
|
...
Beschikbaarheid wordt klassiek uitgedrukt in een percentage. Dit cijfer geeft de gewenste beschikbaarheid die overeenkomt met de behoeften gespecifieerd in de verwerkingsovereenkomst voor de betrokken toepassing of dienst. In deze overeenkomst zal het detail worden opgenomen hoe deze beschikbaarheid wordt berekend op basis van ongeplande onbeschikbaarheden. Naar analogie met vertrouwelijkheid en integriteit maken we gebruik van de 5 impactschalen om de verschillende klassen van beschikbaarheid aan te duiden (Zie ook 8.1.1. Beslissingsboom voor beschikbaarheid):
Schaal | Beschikbaarheid |
De dienstverlening kan meer dan een maand onbeschikbaar zijn zonder significante gevolgen voor de organisatie of de burger. En/of Er is geen kritisch bedrijfsmoment waarop de dienstverlening beschikbaar moet zijn. En/of De onbeschikbaarheid treft weinig of geen gebruikers (bijvoorbeeld minder dan 5% van de doelgroep). En/of Niet-herstel van informatie heeft geen impact op de organisatie of de burger. En/of Performantieverlies heeft geen significante impact voor de organisatie of de burger. | |
De dienstverlening mag niet langer dan een maand onbeschikbaar zijn. Is de dienstverlening langer dan 1 maand onbeschikbaar dan heeft dit significante gevolgen voor de organisatie of de burger. En/of Er is geen kritisch bedrijfsmoment waarop de dienstverlening beschikbaar moet zijn. En/of De onbeschikbaarheid treft een minimaal aantal gebruikers (bijvoorbeeld minder dan 20% van de doelgroep). En/of Informatie moet minstens gedeeltelijk hersteld kunnen worden. En/of Maximaal 75% performantieverlies is toegestaan. | |
De dienstverlening mag incidenteel uitvallen, tot een week. Is de dienstverlening langer dan één week onbeschikbaar dan heeft dit significante gevolgen voor de organisatie of de burger. En/of Tijdens kritische bedrijfsmomenten mag de dienstverlening niet langer dan 24 uur onbeschikbaar zijn. En/of De onbeschikbaarheid treft een significant aantal gebruikers (bijvoorbeeld tot 50% van de doelgroep) of enkele prioritaire gebruikers (minder dan 10%). Elke entiteit bepaalt zelf de criteria voor een prioritaire gebruiker. En/of Informatie moet volledig hersteld kunnen worden tot een zekere datum. En/of Maximaal 50% performantieverlies is toegestaan. | |
De dienstverlening kan quasi niet uitvallen, maximaal 72 uur. Is de dienstverlening langer dan 72 uur onbeschikbaar dan heeft dit significante gevolgen voor de organisatie of de burger. En/of Tijdens kritische bedrijfsmomenten mag de dienstverlening niet langer dan 12 uur onbeschikbaar zijn. En/of De onbeschikbaarheid treft een groot aantal gebruikers (bijvoorbeeld tot 75% van de doelgroep), of meerdere prioritaire gebruikers (bijvoorbeeld tot 25%). En/of Informatie moet volledig hersteld kunnen worden tot een datum op korte termijn. En/of Maximaal 20% performantieverlies is toegestaan. | |
De dienstverlening mag enkel zeer uitzonderlijk uitvallen, tot 24 uur. Is de dienstverleningen langer dan 24 uur onbeschikbaar dan heeft dit significante gevolgen voor de organisatie of de burger. En/of Tijdens kritische bedrijfsmomenten mag de dienstverlening niet langer dan 2 uur onbeschikbaar zijn. En/of De onbeschikbaarheid treft een zeer groot aantal gebruikers (bijvoorbeeld meer dan 75% van de doelgroep) en meerdere prioritaire gebruikers (bijvoorbeeld meer dan 25%). En/of Informatie moet volledig hersteld kunnen worden tot het moment van onbeschikbaarheid. En/of Maximaal 5% performantieverlies is toegestaan. |
...
Om het gebruik in documentatie te vereenvoudigen krijgt elke schaal een unieke code onder vorm van een cijfer. Bovendien passen we een unieke kleurcode toe om de visuele herkenbaarheid te verbeteren. In de documentatie gebruiken we de terminologie informatieklassen om deze graden te groeperen.
Referenties naar Klasse 1, krijgen een blauwekleur
Referenties naar Klasse 2, krijgen een groenekleur
Referenties naar Klasse 3, krijgen een oranjekleur
Referenties naar Klasse 4, krijgen een rodekleur
Referenties naar Klasse 5, krijgen een zwarte kleur