...
Om het beleid te documenteren, werken we met 4 niveaus of levels. Dit gaat breder dan enkel het ICR.
Kort samengevat gaat het over:
Gaat over | Is voor | Eigenaar | Voorbeelden | |
---|---|---|---|---|
Level 1 | Wet- en regelgeving | Vo-breed | Wetgevende macht, regelgevende instantie | Wetten, decreten, enz |
Level 2 | Beleid op niveau Vo | Vo-breed | Stuurorgaan Vlaams Informatie- en ICT-beleid | ICR |
Level 3 | Beleid op organisatieniveau | Entiteit | Topmanagement (leidend ambtenaar, directeur, CEO, …) | Beleidsdocumenten van een entiteit, bvb paswoord beleid. |
Level 4 | Implementatie van het beleid | Entiteit | Topmanagement (leidend ambtenaar, directeur, CEO, …) | Architectuur documenten |
...
Het is belangrijk om op te merken dat elke niveau conform moet zijn met het bovenliggende niveau. Zo moeten firewall policies in lijn zijn met het informatieveiligheidsbeleid van de entiteit, dat op zijn beurt conform moet zijn met het ICR, dat op zijn beurt conformeert aan wet- en regelgeving.
We geven een voorbeeld van zo’n cascade:
Op niveau 1 situeert zich (onder andere) de AVG. Deze stelt dat de nodige technische en organisatorische maatregelen moeten worden genomen om persoonsgegevens te beveiligen.
Op niveau 2 vertaalt de AVG zich in een Vo-breed beleid onder vorm van het ICR, waar persoonsgegevens een vertrouwelijkheidsklasse 2, 3 of 4 toegemeten krijgen. Aan die klasse zijn bepaalde minimale maatregelen gekoppeld, onder andere IAM (controlemaatregelen over identiteit, authenticatie en autorisatie). Daarin staat (onder andere) dat voor gegevens van klasse 2 een eIDAS laag kan worden ingericht als authenticatiemaatregel. Voor dit type gegevens volstaat dus een account/paswoord als authenticatie. Maar het ICR bepaalt verder geen detail regels over hoe zo’n paswoord er moet uit zien.
Daarvoor dient niveau 3: hier stelt elke entiteit voor zich een paswoordbeleid op dat voldoet aan de regels voorzien in het ICR (niveau 2).
En tenslotte is er nog niveau 4: hier wordt het niveau 3 paswoordbeleid vertaalt naar technische regels die dan ingericht worden, bijvoorbeeld voor MS Windows.
1.1.4.1.2. Documentatielevel 1
...
Wetgeving waaronder de informatieverwerking van de Vo valt:
EU;
EU-lidstaat;
Federale overheid;
Regionale overheid;
...
Regelgeving waaronder de informatieverwerking van de Vo valt:
Machtigingen;
Contractuele verbintenissen en voorwaarden;
Generieke en specifieke Vo afspraken.
Normen en standaarden die de basis vormen voor het Vo-brede beleid:
ISO27001
De regelgevende organisatie is aansprakelijk en verantwoordelijk voor het ter beschikking stellen van deze documentatie. Zij behoren niet tot de Vo administratie
...
Beleid voor de volledige keten van de informatieverwerking:
Voor informatieverwerking binnen de organisatie;
Voor informatieverwerkingsdiensten aangeboden aan derden;
(Een referentie aan de) documentatie level 3 van toepassing op informatie verwerkende diensten, afgenomen van derden.
Uitwerking
Contractuele afspraken
Inclusief bijhorende documentatie (addendum, verwijzingen,…)
Verwerkingsovereenkomsten
Inclusief bijhorende documentatie (addendum, verwijzingen,…)
Processen
Inclusief de richtlijnen (policy) die als raamwerk dienen om de processen van de volledige
informatieverwerking te ondersteunen en structureren
De aansprakelijkheid voor het ter beschikking stellen van deze documentatie set ligt bij:
de eigen organisatie, voor de informatieverwerking binnen de eigen organisatie;
de leverancier voor informatieverwerking buiten de eigen organisatie:
commerciële organisaties;
andere Vo-organisaties die informatieverwerking aanbieden.
De verantwoordelijkheid voor de beschikbaarheid van deze documentatie ligt bij de organisatie die de informatieverwerking organiseert of afneemt van derden.
...
Doel van de informatieverwerking
Architectuur
Processtromen
Processen, eigen aan de specifieke informatieverwerking (specifieke toepassing)
Externe processen
Gebruiksbeheer en applicatie toegangen
Beheerderstoegangen
Informatiestromen
Informatiebeschrijving
Noodzaak van de informatie-attributen binnen de informatieverwerking
Techniek
Technische componenten
Applicatie (inclusief externe componenten)
Beheer
Technische informatiestromen tussen de applicatie componenten
Toepassing
Externe diensten en toepassingscomponenten
Genomen veiligheidsmaatregelen
Toepassing
Ondersteunende platformen
Beschikbare adviezen van leveranciers en de toepassing ervan
Netwerken
Firewall
IDS/ IDP
…
Technische ‘baselines’ en technische ‘policies’
De aansprakelijkheid voor het ter beschikking stellen van deze documentatie set ligt bij:
De eigen organisatie, voor de informatieverwerking binnen de eigen organisatie;
De leverancier voor informatieverwerking buiten de eigen organisatie:
Commerciële organisaties;
Andere Vo-organisaties die informatieverwerking aanbieden.
De verantwoordelijkheid voor de beschikbaarheid van deze documentatie ligt bij de organisatie die de informatieverwerking organiseert of afneemt van derden.