2.
...
3.1. Informatieklassen
2.
...
3.1.1. Relatie tussen vertrouwelijkheid en integriteit
Vertrouwelijkheid en integriteit hebben geen één-op-één relatie. Conform de opzet en structuur van de informatieklassen, bevatten de minimale algemene maatregelen de basis om aan vertrouwelijkheids- en aan integriteitvereisten tegemoet te komen. Op basis van specifieke regelgeving zullen deze minimale algemene maatregelen uitgebreid worden met minimale specifieke maatregelen. De eigenaar of verwerker van de informatie kan op basis van geïdentificeerde risico’s beslissen om bijkomend maatregelen te identificeren en in te richten of om het risico op een andere manier te behandelen (risico overdracht, risico acceptatie).
Vertrouwelijkheids- en integriteitsklassen en beschikbaarheidsklassen worden onafhankelijk van elkaar toegekend aan informatie. Het kan dus gebeuren dat informatie een bepaalde klasse voor vertrouwelijkheid toegekend krijgt – bv. 2 – en een andere voor integriteit – bv. 3. In dit geval moeten de minimale maatregelen voor klasse 2 voor vertrouwelijkheid en voor klasse 3 voor integriteit toegepast worden. Het komt vaak voor dat een maatregel zowel vertrouwelijkheid als integriteit bedient. In dit geval wordt de maatregel voor de hoogste klasse toegepast – in het voorbeeld klasse 3 (integriteit). Een maatregel die uitsluitend vertrouwelijkheid of uitsluitend integriteit afdekt, hoeft aan deze regel niet te voldoen.
2.
...
3.1.2. Relatie tussen informatieklasse en impact
Het toekennen van informatieklassen aan informatie-assets heeft als doel (relatief) eenvoudig en consistent in te schatten welke controlemaatregelen we nodig hebben om de vertrouwelijkheid, integriteit en beschikbaarheid van de asset op gepast niveau te borgen. Om dit te kunnen doen, moeten we eerst inzicht krijgen in de gevolgen als niet voldaan wordt aan de vertrouwelijkheid, integriteit of beschikbaarheid van de asset. We gaan na welke impact er zou zijn indien de asset gecompromitteerd zou worden, dus als er een inbreuk zou plaatsvinden.