DoelstellingHet primaire doel van een beleid voor kwetsbaarhedenbeheer is het beschermen van de organisatie tegen de exploitatie van kwetsbaarheden, die kunnen leiden tot ongeautoriseerde toegang, datadiefstal, netwerkinbreuken en diverse andere cyberaanvallen.
Dit beleid stelt een systematisch en gestructureerd kader vast voor het identificeren, evalueren, prioriteren en aanpakken van kwetsbaarheden binnen alle onderdelen van de organisatie, waaronder gebruikersapparatuur, infrastructuurcomponenten en softwaretoepassingen. Het richt zich op het proactief verminderen van risico's en het waarborgen van de integriteit, vertrouwelijkheid en beschikbaarheid van de informatiesystemen. Door het vaststellen van duidelijke procedures en verantwoordelijkheden helpt dit beleid bij het continu monitoren en verbeteren van de beveiligingsmaatregelen van de organisatie.
|
| Filter by label (Content by label) | ||||||||
|---|---|---|---|---|---|---|---|---|
|
Beleidslijn
Scope en toepassingsgebied
De algemene scope en toepassingsgebied van ISMS kan u hier terugvinden, indien hierop afwijkingen of verduidelijkingen van toepassing zijn worden deze hieronder in detail omschreven.
Implementatiemaatregelen
Deze implementatiemaatregelen beschrijven de richtlijnen (verplicht of optioneel) die we noodzakelijk achten om de informatie en bedrijfsmiddelen van Digitaal Vlaanderen afdoende te beschermen. Het vereiste beveiligingsniveau is echter afhankelijk van de informatieklasse van de desbetreffende toepassing.DREIGINGENHet beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:
|
|
|
Rollen en verantwoordelijkheden
Overzicht van de rollen en verantwoordelijkheden die van specifiek van toepassing zijn op dit beleidsdomein. Een algemeen overzicht van alle rollen en verantwoordelijkheden kun u hier terugvinden.
Rollen (personen) aan wie verantwoordelijkheden inzake informatieveiligheid zijn toegekend (=eigenaar), kunnen beveiligingstaken aan anderen toewijzen (=gedelegeerde eigenaar), echter de eigenaar blijft steeds de eindverantwoordelijke.
Uitvoeder (Responsible)
Aansprakelijk (Accountable)
Raadpleging (Consultable)
Informeren (Informed)
Identificatie van kwetsbaarheden
(Algemeen)
Dienstenleverancier
Opdrachtgever
Security verantwoordelijke opdrachtgever
Opdrachtgever
Gedeelde infrastructuur
‘Het bestuur’
‘Het bestuur’
SIAM
‘Het bestuur’
Klant
Eigen infrastructuur
Traditioneel beheer/AMaaS
Klant
Klant
Dienstenleverancier
SIAM
‘Het bestuur’
Klant
Dienstenleverancier
SIAM
‘Het bestuur’
Eigen infrastructuur
Minimaal beheer
Opdrachtgever
Klant
Klant
Klant
Dienstenleverancier
SIAM
‘Het bestuur’
Herstel van kwetsbaarheden
(Algemeen)
Dienstenleverancier
Opdrachtgever
Security verantwoordelijke opdrachtgever
Opdrachtgever
Gedeelde infrastructuur
Opdrachtgever
‘Het bestuur’
Security verantwoordelijke opdrachtgever
‘Het bestuur’
SIAM
Opdrachtgever
‘Het bestuur’
Klant
Eigen infrastructuur
Traditioneel beheer/AMaaS
Opdrachtgever
Klant
Security verantwoordelijke opdrachtgever
Klant
Dienstenleverancier
SIAM
‘Het bestuur’
Opdrachtgever
Klant
Dienstenleverancier
SIAM
‘Het bestuur’
Eigen infrastructuur
Minimaal beheer
Opdrachtgever
Klant
Klant
Klant
Dienstenleverancier
SIAM
‘Het bestuur’
Rapportering risico’s
Aanleveren van de operationele data
Dienstenleverancier
Dienstenleverancier
Service delivery verantwoordelijke
Dienstenleverancier
Opdrachtgever
Rapportering risico’s
SIAM
Opdrachtgever
‘Het bestuur’
Security verantwoordelijke
Opdrachtgever
‘Het bestuur’
SIAM
Opdrachtgevers
‘Het bestuur’
Klant
Scoping van de verantwoordelijkheden
Aansprakelijkheid (Algemeen)
Conform het raamcontract ligt de aansprakelijkheid van de verwerking steeds bij de opdrachtgever/Klant van het ecosysteem.
Bij gebruik van gedeelde infrastructuur zal Digitaal Vlaanderen in de rol van ‘bestuur’ optreden als opdrachtgever en waken voor een aangepast risico niveau bij het gebruik van deze gedeelde infrastructuur: Netwerk-, werkplek- en datacenter diensten.
Bij de applicatiediensten ligt de aansprakelijkheid bij de individuele opdrachtgevers.
Verantwoordelijkheid (In scope kwetsbaarhedenbeheer, identificatie van risico’s)
Conform het raamcontract is de verwerker verantwoordelijke voor:
De identificatie en herstel van kwetsbaarheden (Risico’s genoemd in het contract) met een potentiële impact op zijn dienstenaanbod en in het verlengde naar het volledige ecosysteem.
Voor het beheer van risico’s binnen zijn dienstenaanbod;
Mitigeren/Patchen
Verwijderen (van het betrokken component uit de verwerking, vervangen door een functioneel alternatief)
Verplaatsen- (rest risico op een aanvaardbaar niveau brengen door gebruik te maken van diensten van een derde partij)
Aanvaarden door de aansprakelijke partij
Voor de identificatie en het beheer van kwetsbaarheden (Risico’s) kan de verwerker desgewenst eigen processen en tools inrichten of gebruik maken van het aanbod van andere dienstenleveranciers (incl. SIAM) om de noodzakelijke veiligheidsgaranties te waarborgen.
Merk op
Kwetsbaarheden als resultaat van configuratiewijzigingen aangebracht onder ‘eigen beheer’ van de opdrachtgever zijn als gevolg de aansprakelijkheid én verantwoordelijkheid van de opdrachtgever en niet van de dienstenleverancier.
De verantwoordelijkheid van de dienstenleverancier bij ‘eigen beheer’ beperkt zich contractueel tot het identificeren van alle kwetsbaarheden met mogelijke impact risico’s voor zijn diensten naar zowel de opdrachtgever die de risico’s introduceert als naar de andere afnemers van zijn dienstverlening.
We maken als gevolg onderscheid tussen kwetsbaarheden die voortkomen vanuit de dienstverlening en deze kwetsbaarheden die werden geïntroduceerd door de opdrachtgever, al dan niet in samenwerking met een leverancier die geen deel uitmaakt van het ecosysteem van dienstverleners in het ICT raamcontract.
Rapportering van de kwetsbaarheden
De dienstenleveranciers moeten in staat zijn om een onderscheid te maken tussen kwetsbaarheden die voortvloeien uit hun eigen dienstenaanbod, ook indien ze dit uitbesteden aan een derde partij in opdracht van deze dienstenleverancier, al dan niet een partij binnen het ecosysteem.
De rapportering is in staat dit onderscheid weer te geven en de evaluatie van de performantie van de dienstverlening beperkt zich tot de verantwoordelijkheden in eigen dienstverlening. Zijnde …
Identificatie en rapportering van kwetsbaarheden (CCVS/CVE) aan de SIAM, gekoppeld aan de asset tag van het betrokken component/asset
Opsplitsing van componenten binnen eigen dienstverlening en deze die worden toegevoegd door de opdrachtgever (bvb installatie eigen software)
Rapportering aan de opdrachtgever van kwetsbaarheden toegevoegd door de opdrachtgever
Rapportering aan ‘het bestuur’ door de SIAM van de kwetsbaarheden uit de eigen dienst activiteiten.
ISO Beheersmaatregelen
Hieronder vind u een overzicht van de gerelateerde ISO beheersmaatregelen.
Wat zijn kwetsbaarheden
Kwetsbaarheden verwijzen naar zwakke punten, gebreken of tekortkomingen in een softwaresysteem, hardware, netwerk of toepassing die kunnen worden geëxploiteerd door cyberaanvallers om ongeautoriseerde toegang te verkrijgen of schade aan te richten. Deze kwetsbaarheden kunnen ontstaan door een verscheidenheid aan factoren:
Softwarefouten: Programmeringsfouten of bugs in software kunnen leiden tot kwetsbaarheden. Voorbeelden hiervan zijn onjuiste inputvalidatie, inadequate foutafhandeling, en kwetsbaarheden in de beveiliging van applicaties.
Configuratiefouten: Onjuiste of suboptimale configuraties van systemen en netwerken kunnen zwakke punten creëren. Dit kan variëren van slecht geconfigureerde firewalls tot onbeveiligde databasetoegang.
Ontwerpfouten: Zwakke punten kunnen ook inherent zijn aan het ontwerp van de software of het systeem, waarbij de architectuur van de applicatie of het netwerk beveiligingslacunes vertoont.
Verouderde Software: Het gebruik van verouderde software die niet langer wordt ondersteund of geupdate, kan kwetsbaarheden bevatten die niet worden aangepakt.
Kwetsbaarheden kunnen worden geclassificeerd op basis van hun ernst. De ernst van een kwetsbaarheid wordt bepaald aan de hand van de volgende factoren:
De impact van de kwetsbaarheid: Hoe ernstige gevolgen kan de kwetsbaarheid hebben, als deze wordt uitgebuit?
De beschikbaarheid van een exploit: Is er al een exploit beschikbaar die de kwetsbaarheid kan uitbuiten?
De impact van de exploit: Hoe ernstige gevolgen kan de exploit hebben, als deze wordt uitgevoerd?
Toepassingsgebied van kwetsbaarhedenbeheer
Procedures voor het beheer van technische kwetsbaarheden moeten worden toegepast op volgende bedrijfsmiddelen:
Applicaties, besturingssysteemsoftware en firmware
Computerapparatuur (met inbegrip van servers en desktopcomputers)
Mobiele apparaten (met inbegrip van tablets en smartphones)
Virtuele systemen (met inbegrip van virtuele servers, virtuele desktops en virtuele toepassingen)
Netwerkopslagsystemen (met inbegrip van storage area networks en network-attached storage)
Netwerkapparatuur (met inbegrip van routers, switches, draadloze toegangspunten en firewalls)
VoIP-telefoniesoftware en vergaderapparatuur
Kantoorapparatuur (met inbegrip van netwerkprinters, kopieerapparaten, multifunctionele apparaten, enz.)
Gespecialiseerde systemen, waaronder systemen die industriële besturingssystemen ondersteunen (bijv. SCADA-systemen, Distributed Control Systems, Programmable Logic Controllers, IoT-apparaten, enz.)
Kortom, kwetsbaarhedenbeheer is van toepassing op alle gebruikersapparatuur, infrastructuurcomponenten, software en toepassingen binnen de organisatie, ongeacht of deze zelf ontwikkeld of aangekocht zijn.
Het identificeren van technische kwetsbaarheden
Het identificeren van kwetsbaarheden is de eerste stap in het kwetsbaarhedenbeheerproces.
Om kwetsbaarheden te identificeren, kan de organisatie gebruikmaken van diverse methodes, waaronder:
Vulnerability scanners: Met deze tools scannen systemen, netwerken en applicaties op bekende kwetsbaarheden.
Penetratietesten: Simulatie van cyberaanvallen om kwetsbaarheden in systemen, applicaties en netwerken te identificeren.
Code Reviews: Handmatige of geautomatiseerde beoordeling van de broncode van een applicatie om kwetsbaarheden te vinden.
Responsible disclosure: Het melden van kwetsbaarheden door gebruikers of professionals (BvB. ethical hackers).
Het wordt aanbevolen om een combinatie van de bovengenoemde methodes te gebruiken om de effectiviteit van het identificeren van technische kwetsbaarheden te waarborgen. Deze aanpak dient afgestemd te zijn op de informatieklasse van de betreffende bedrijfsmiddelen.
| Panel | ||||||
|---|---|---|---|---|---|---|
| ||||||
Om de detectie van technische kwetsbaarheden mogelijk te maken is het belangrijk dat de organisatie een volledig en actueel overzicht heeft van alle bedrijfsmiddelen, inclusief informatie over vendor, versie en end of life informatie, gebruik binnen de organisatie en eigenaar binnen de organisatie. Zie Beheer van bedrijfsmiddelen voor meer informatie. |
| Panel | ||||||||
|---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET de nodige processen en procedures implementeren om het bestaan van technische kwetsbaarheden op haar producten en diensten, inclusief alle externe componenten, tijdig te detecteren. Procedures voor het identificeren van technische kwetsbaarheden MOETEN het volgende omvatten:
|
Vulnerability scanner
Vulnerability scans zijn geautomatiseerde processen die applicaties en hun onderliggende infrastructuur doorzoeken op kwetsbaarheden, zoals componenten die niet de juiste beveiligingsupdates hebben of bekende kwetsbare configuraties. Deze scanners gebruiken een database met bekende kwetsbaarheden om te controleren of dergelijke kwetsbaarheden aanwezig zijn in de gescande systemen.
Vulnerability scans kunnen effectief worden ingezet in combinatie met netwerkdiscovery scans. Het doel van een netwerkdiscovery scan is om een volledig overzicht te verkrijgen van alle hardware en software binnen het netwerk, waardoor kwetsbaarheden in onbekende of niet-beheerde bedrijfsmiddelen ook geïdentificeerd kunnen worden.
Bij het plannen van vulnerability scans is het essentieel om de scope, het tijdstip en de frequentie zorgvuldig te bepalen. Dit zorgt ervoor dat geen enkel bedrijfsmiddel over het hoofd wordt gezien, de beschikbaarheid van de productieomgeving niet wordt beïnvloed, en dat bekende kwetsbaarheden binnen een redelijke termijn kunnen worden aangepakt.
| Panel | ||||||||
|---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelVulnerability scans MOETEN worden toegepast op de volledige IT-omgeving van de organisatie, waarbij:
|
Penetratietest
Bij penetratietesten (of pentesten) wordt een gespecialiseerde tester ingeschakeld die kwetsbaarheden in specifieke applicatie onderzoekt. Deze testen hebben een duidelijk gedefinieerde scope, aanvalsvectoren en timing.
Penetratietesten kunnen plaatsvinden in de acceptatieomgeving als deze identiek is aan de productieomgeving. De timing van deze testen moet zo gepland worden dat ze geen piekmomenten in de productieomgeving verstoren. Recurrente testen vinden doorgaans plaats in de productieomgeving.
Er zijn drie soorten penetratietesten:
White Box: hierbij heeft de tester informatie over de manier waarop de toepassing is geïmplementeerd en over de interne werking van de organisatie (architectuur, organigram, etc.)
Black Box: hierbij heeft de tester in principe geen, of bijna geen informatie over de toepassing of de organisatie.
Grey Box: hierbij krijgt de tester een deel van de informatie, maar niet zoveel als bij een white box.
De tester moet rekening houden met verschillende aanvalsvectoren en kwetsbaarheden, waaronder:
De OWASP top 10 kwetsbaarheden
(D)DoS paraatheid
Brute force attack paraatheid
Buffer overflow/memory leak
Check tegen gekende CVE reports
Credential hunting (default passwoorden, hardgecodeerde gebruikersnamen of wachtwoorden)
Downgrade attacks die gebruik maken van verouderde protocollen
Exploit servers
Input errors
Privilege escalation
Zoeken naar niet-ondersteunde versies van programma’s of systemen
De frequentie en het soort van testen variëren afhankelijk van de informatieklasse van de applicatie. Kwetsbaarheden, vooral in naar het internet ontsloten toepassingen, dienen prioritair te worden aangepakt. Na remediëring van kwetsbaarheden kan een nieuwe test nodig zijn om te bevestigen dat deze in productie zijn opgelost.
| Panel | ||||||||
|---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelPenetratietesten MOETEN op basis van volgende vereisten worden uitgevoerd: Informatieklasse 1 en 2 (Vertrouwelijkheid en Integriteit)
Vanaf informatieklasse 3 (Vertrouwelijkheid en integriteit ) of persoonsgegevens
|
Code review
Code review verwijst naar het proces van manuele of geautomatiseerde inspectie van de code van een applicatie om de veiligheid te waarborgen. Afhankelijk van de ontwikkelingsfase van de applicatie, kunnen verschillende soorten reviews nodig zijn, uitgevoerd in de ontwikkel-, test- of acceptatieomgeving.
Er zijn twee hoofdtypen van code reviews:
Static Application Security Testing (SAST): Deze statische reviews worden uitgevoerd op niet-gecompileerde broncode, dus in een contextloze omgeving.
Dynamic Application Security Testing (DAST): Deze dynamische reviews vinden plaats op gecompileerde code in een test- of acceptatieomgeving, waar de code in een functionele context wordt beoordeeld.
Naast deze reviews kunnen andere tests tijdens het ontwikkelproces, zoals unit testing of acceptatietesting, ook bijdragen aan het verzekeren van veiligheid.
Code reviews focussen op het identificeren van kwetsbaarheden uit de OWASP Top 10 en specifieke dreigingen uit bronnen zoals CVE-databases. Het doel is om zoveel mogelijk kwetsbaarheden in een vroeg stadium van de ontwikkelfase te verhelpen. Niet-behandelde kwetsbaarheden kunnen in latere fasen nog worden geidentificeerd en aangepakt (Bvb door middel van penetrasietest), maar dit kan de doorlooptijd van een project beïnvloeden.
Voor ingekochte of open source toepassingen is het belangrijk dat leveranciers of de onderhoudende communities deze praktijken ook toepassen. Deze controles dienen te gebeuren vóór de aankoop of installatie van de code of applicatie.
| Panel | ||||||||
|---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET procedures vastleggen die afspraken mbt code review vastleggen. Projectteams ZOUDEN code reviews al in een vroeg stadium van de ontwikkelingsfase integreren, om zo de doorlooptijd van het project niet negatief te beïnvloeden. |
Responsible disclosure
Responsible disclosure is een principe waarbij iemand die een kwetsbaarheid in software of een systeem ontdekt, deze op een verantwoordelijke manier rapporteert aan de organisatie die de software of het systeem beheert, in plaats van deze informatie openbaar te maken of te misbruiken. Het doel van responsible disclosure is om de organisatie de gelegenheid te geven de kwetsbaarheid te verhelpen voordat deze bekend wordt bij het grote publiek of bij kwaadwillenden. Het proces omvat typisch de volgende stappen:
Ontdekking van de Kwetsbaarheid: Een onderzoeker of gebruiker identificeert een kwetsbaarheid in een systeem of applicatie.
Vertrouwelijke Rapportage: De ontdekker rapporteert de kwetsbaarheid vertrouwelijk aan de organisatie die verantwoordelijk is voor het systeem of de applicatie. Dit wordt vaak gedaan via een speciaal daarvoor bestemd kanaal of contactpunt.
Reactie van de Organisatie: De betreffende organisatie erkent de melding, onderzoekt de kwetsbaarheid en ontwikkelt een oplossing of patch.
Communicatie en Timing: De melder en de organisatie communiceren over een redelijke tijdlijn voor het openbaar maken van de kwetsbaarheid, meestal nadat de oplossing is geïmplementeerd.
Openbaarmaking: Na het verhelpen van de kwetsbaarheid, wordt deze openbaar gemaakt, vaak inclusief erkenning van de persoon die de kwetsbaarheid heeft ontdekt.
| Panel | ||||||
|---|---|---|---|---|---|---|
| ||||||
Het gebruik van een
Door een |
Als onderdeel van het responsible disclosure beleid kan de organisatie overwegen een bug bounty programma te lanceren. Dit programma nodigt ethische hackers of white hat hackers uit om actief naar kwetsbaarheden te zoeken, eventueel in ruil voor een beloning. Door het aanbieden van een bug bounty programma stimuleert de organisatie de melding van kwetsbaarheden, waardoor de algehele beveiliging verbeterd kan worden. Deze benadering helpt niet alleen bij het identificeren en oplossen van beveiligingsproblemen, maar bevordert ook een positieve samenwerking met de cybersecuritygemeenschap. Het is echter belangrijk om duidelijke richtlijnen en regels voor het programma vast te stellen, inclusief de scope van het programma, de criteria voor beloningen en de procedure voor het indienen van bevindingen.
| Panel | ||||||||
|---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelDe organisatie MOET procedures vastleggen en publiceren die afspraken mbt responsible disclosure kenbaar maken en MOET de mogelijkheid voorzien aan medewerkers en derden om kwetsbaarheden te melden. De organisatie ZOU het gebruik van een De organisatie ZOU een bug bounty programma kunnen opstarten om het melden van kwetsbaarheden te stimuleren. |
Het beoordelen en evalueren van technische kwetsbaarheden
Om het potentiële impactniveau van kwetsbaarheden op de systemen van de organisatie te bepalen, gebruiken we de CVE-evaluatie van de MITRE-organisatie. Door deze methodologie toe te passen, zorgen we voor een uniforme en consistente risicobeoordeling van kwetsbaarheden over alle systemen heen.
Hieronder vindt u een tabel met een overzicht van de basisschalen die bij deze risicobeoordeling worden gebruikt, evenals de standaard risicobeheersingsmaatregelen die we daar tegenoverstellen. Afwijkingen of uitzonderingen zullen, zoals altijd, onderworpen worden aan een risicoanalyse, inclusief eventuele aanvullende maatregelen, voordat deze mogelijk geaccepteerd kunnen worden.
| Panel | ||||||||
|---|---|---|---|---|---|---|---|---|
| ||||||||
ImplementatiemaatregelAlle geidentificeerde technische kwetsbaarheden MOETEN op basis van CVE-evaluatie op een uniforme en consistente manier worden uitgevoerd. (zie tabel hieronder) |
CVSS Score | Risico evaluatie | Toleratie waarde CVSS (her)evaluatie van de Kwetsbaarheid ouder dan … | Risico mitigerende actie buiten toleratie waarden (SLA basis) |
9-10 | Kritiek | 28 kalenderdagen | Verwijderen |
7-9 | Hoog | 28 kalenderdagen | Verwijderen |
4-7 | Gemiddeld | 90 kalenderdagen | Verwijderen |
1-4 | Laag | 365 kalenderdagen | Aanvaarden |
0-1 | Zeer laag | NVT | Aanvaarden |
Wanneer is een systeem correct gepatcht
Op basis van bovenstaande tabel is een systeem correct gepatcht indien er op het systeem geen kwetsbaarheden voorkomen met een CVSS waarde vanaf 4 en hoger, waar de identificatie, ontvangen of update van een CVSS score van de individueel geïdentificeerde unieke kwetsbaarheden ouder is dan de aangegeven tolerantiewaarde (in kalenderdagen).
Voor individuele kwetsbaarheden lager dan CCVS score 4 heeft de verantwoordelijke ‘uitvoerder van de verwerking’ de mogelijkheid om over te gaan tot het aanvaarden van de risico’s die voortkomen uit de aanwezigheid van deze patches.
Merk op
Tijdens de levenscyclus van kwetsbaarheden bestaat de kans dat de CVSS waarde van de betrokken kwetsbaarheid word bijgesteld naar een hogere Criticiteit. Het moment waarop deze tolerantiewaarde wordt overschreden is gebaseerd op het moment van herevaluatie van de CVVS score, niet van de originele CVSS score bij de identificatie van de kwetsbaarheid binnen het MITRE framework.
RACI-overzicht van de voornaamste rollen en verantwoordelijkheden die van toepassing zijn op het beleid.
Voor meer informatie over rollen en verantwoordelijkheden zie 4. Rollen en verantwoordelijkheden
Nog verder uit te werken (als voorbeeld)
Activiteit | Uitvoeder | Aansprakelijke | Raadpleging | Informeren |
|---|---|---|---|---|
Toepassen van maatregelen | ||||
Overzicht van controles die gebruikt worden voor de conformiteitstoetsing van het beleid.
Type | Controle | ||||||
|---|---|---|---|---|---|---|---|
| |||||||
| |||||||
| |||||||
Verklarende woordenlijst
Verklarende woordenlijst van specifieke termen gebruikt in dit beleid. Een volledig overzicht van termen en afkorting zijn beschreven in de glossary informatieveiligheidRegelgeving en standaarden (L1)
ISO 27001:2022 (Annex A)
| Page Properties Report | ||||||||
|---|---|---|---|---|---|---|---|---|
|
Informatieveiligheidsstrategie van de Vlaamse overheid (L2)
Gerelateerde documentatie
Overzicht van documenten die betrekking hebben tot dit beleidsdomein (Bvb. plan, register, procesbeschrijving, procedure, …), alsook de eigenaar die verantwoordelijk is om deze document aan te leveren en te onderhouden.
Zie voor meer informatie.
Processen
Oplossingen
Titel | Auteur | Datum | Versie | Status | Opmerkingen | ||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Operations security policy (vulnerability management) | Nathalie Claeys | 8/03/2021 | 0.1 |
| |||||||
Kwetsbaarhedenbeheer | Fabrice Meunier | 27/11/2023 | 1.0 |
|
| Page Properties | ||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||
Document status (Metadata)Onderstaande gegevens worden gebruikt voor rapporteringsdoeleinden in documentregister
status opties:
status eveneens aanpassen bovenaan deze pagina |