Versions Compared

Old Version 17

changes.mady.by.user Guy Calomme

Saved on

compared with

New Version 18

changes.mady.by.user Guy Calomme

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Excerpt
nameInleiding

De procedure informatieklassebepaling (IKB) voor Digitaal Vlaanderen (DV) beschrijft hoe DV informatieassets beheerd en de informatieklasse (IK) hiervan bepaald en rapporteert.

Inhoud

Table of Contents
maxLevel3
minLevel1
include
outlinefalse
indent
excludeInhoud
typelist
printabletrue
class

Start van de IKB

Een IKB wordt geïnitieerd:

  • voor bestaande producten door tijdens de ISA bij de herziening van het product-dashboardperiodieke herziening, waarbij de PO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar,

  • bij de implementatie van een nieuw product,

  • bij een belangrijke wijziging aan een bestaand product.

Periodieke review

Analyse van de zakelijke omgeving

Op jaarlijkse basiskwartaalbasis, wordt door de ISO (“Information Security Officer”) een analyse van de zakelijke omgeving van DV gemaakt, en wordt er bepaald welke producten DV beheerd. Producten zijn technologieën die DV beheert en aanbiedt aan de agentschappen van de Vo, om overheden te ondersteunen in hun digitale transformatie. Producten worden beschouwd als de voornaamste informatieassets van DV. Er worden geen andere informatieassets beschouwd. Zowel de kernprocessen als ondersteunende processen zoals Marketing, HR etc. binnen DV worden beschouwd.

De ISO verzamelt informatie van verschillende bronnen binnen DV, in het bijzonder van de afdeling Portfoliobeheer.

Beheer van het product-dashboard

De producten worden door de ISO beheerd in een product-dashboard dat dient als basis voor de latere opvolging van de IKB status en voor de berekening en rapportering van KPI's (“Key Performance Indicators”) voor het IKB proces.

Op kwartaalbasis, stuurt de ISA ISO het product-dashboard naar de dienst Portfoliobeheer en elk afdelingshoofd binnen DV voor verificatie van de volledigheidter herziening. De portfoliomanager herziet het product-dashboard voor volledigheid. Elk afdelingshoofd herziet eveneens het product-dashboard voor volledigheid voor zijn/haar afdeling, en bevestigt de PO's (“Product Owners” of producteigenaars) van de producten onder zijn/haar verantwoordelijkheid aan de ISA. Als alternatief voor de afdelingshoofden kan ook gewerkt worden met de Team Coaches (TCs“Team Coaches” (TC's).

Indien in een afdeling een nieuw product of een belangrijke wijziging aan een bestaande product wordt geïmplementeerd, dient het afdelingshoofd de ISA ISO te informeren met vermelding van de PO, zodat deze het product-dashboard kan aanpassen en een IKB kan opstarten.

De ISA ISO neemt eveneens actie wanneer een IKB ouder is dan 1 jaar en vraagt in dat geval de PO van het desbetreffende product om de IKB te herzien.

Bij de herziening van een IKB voor een product door de PO, dient ook de toetsing van technische maatregelen en de risicobeoordeling te worden herzien.

Uitvoering van de IKB

Een IKB wordt geïnitieerd:

  • bij de implementatie van een nieuw product of bij een belangrijke wijziging aan een bestaand product, door de PO,

  • voor bestaande producten door de ISA ISO bij de herziening van het product-dashboard, waarbij de PO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar,

  • voor bestaande producten door het afdelingshoofd of TC bij de herziening van het IKB dashboard en KPI’s, waarbij de PO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar.

De PO start de IKB bevraging door middel van het sjabloon Selectietool minimale maatregelen.

De PO stuurt de ingevulde bevraging ter validatie naar security@vlaanderen.be en dpo@vlaanderen.be.

De ISA ISO zal een meeting inplannen om de bevraging te overlopen met de ISO (“Information Security Officer”) en DPO (“Data Protection Officer”), samen met de PO.

Na de meeting bepaalt de ISA ISO de IK voor zowel Beschikbaarheid, Integriteit en Vertrouwelijkheid als voor Persoonsgegevens, zoals beschreven in Informatieclassificatieraamwerk (ICR).

De ISO laat de IK valideren door de CISO (“Chief Information Security Officer”), indien nodig word de IK herbepaald en opnieuw een meeting ingepland hiervoor met de PO.

Indien gevraagd door de DPO, start de ISA een pre-DPIA (“Data Protection Impact Assessment”) met de PO, dewelke eveneens wordt gedocumenteerd door middel van het sjabloon Selectietool minimale maatregelen.

De ISA ISO past het IKB dashboard aan met de informatie ingevuld in het sjabloon Selectietool minimale maatregelen, met de volgende velden:

  • Beschikbaarheid

  • Integriteit

  • Vertrouwelijkheid

  • Persoonsgegevens

  • Datum IKB

  • Review IKB

De ISA ISO start vervolgens het proces Toetsing van maatregelen met de PO, zie https://vlaamseoverheid.atlassian.net/wiki/spaces/ISMS/pages/6503205176/Proces+-+Identificatie+van+maatregelen.

Rapportering

Op maandelijkse basis berekent de ISO de KPI’s voor het IKB proces, zie KPI's informatieklassebepaling.

De ISO stuurt maandelijks de berekende KPI’s samen met het product-dashboard naar de CISO ter herziening.

De ISO stuurt maandelijks de berekende KPI’s samen met het product-dashboard eveneens naar de afdelingshoofden en/of TCs. Op basis hiervan kan het afdelingshoofd en TC een PO aanspreken indien de IKB ontbreekt of overtijd is.

Op kwartaalbasis worden de berekende KPI’s samen met het product-dashboard door de CISO, de DV risicomanager en het DV directiecomité herzien als onderdeel van het stuurorgaan informatieveiligheid.