Versions Compared

Old Version 22

changes.mady.by.user Guy Calomme (Deactivated)

Saved on

compared with

New Version 23

changes.mady.by.user Guy Calomme (Deactivated)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Excerpt
nameInleiding

De procedure informatieklassebepaling (IKB) voor Digitaal Vlaanderen (DV) beschrijft hoe DV de informatieklasse (IK) van informatieassets bepaald en rapporteert.

Inhoud

Table of Contents
maxLevel3
minLevel1
include
outlinefalse
indent
excludeInhoud
typelist
printabletrue
class

Start van de IKB

Team Informatieveiligheid (TIV) houdt een dashboard bij met gekende informatieassets. Een IKB wordt gestart vanuit TIV voor gekende informatieassets tijdens de periodieke herziening van dit dashboard, of vanuit de afdelingen bij de implementatie van een nieuw informatieasset, of een belangrijke wijziging aan een bestaande informatieasset.

Periodieke

review

herziening

Analyse van de zakelijke omgeving

Op kwartaalbasis, wordt door de ISO (“Information Security Officer”) van TIV een analyse van de zakelijke omgeving van DV gemaakt, en wordt er bepaald welke producten DV beheerd. worden de informatieassets van DV geïnventariseerd. Een informatieasset is een bedrijfsmiddel dat informatie bevat (bijvoorbeeld een toepassing of een product) die waarde heeft voor de organisatie. Informatieassets worden beschouwd als waardevolle bezittingen van een organisatie omdat ze cruciale gegevens bevatten die nodig zijn voor het functioneren en de besluitvorming. Ze kunnen variëren in grootte en complexiteit, van individuele bestanden tot complete systemen of databases. Ter verduidelijking van het onderwerp informatieassets, heeft TIV een handreiking ontwikkeld: Handreiking informatieassets.

Producten zijn technologieën die DV beheert en aanbiedt aan de agentschappen van de Vo, om overheden te ondersteunen in hun digitale transformatie. Producten worden beschouwd als de voornaamste informatieassets van DV. Zowel Bijkomend moeten zowel de kernprocessen als ondersteunende processen zoals Marketing, HR etc. binnen DV worden beschouwd, en nagegaan worden welke informatieassets daar aanwezig zijn.

De ISO verzamelt informatie van verschillende bronnen binnen DV, in het bijzonder van de afdeling Portfoliobeheer. Deze informatie wordt verzameld in een asset-dashboard.

Beheer van het

product

asset-dashboard

De producten informatieassets worden door de ISO beheerd in een productasset-dashboard dat dient als basis voor de latere opvolging van de IKB status en voor de berekening en rapportering van KPI's (“Key Performance Indicators”) voor het IKB proces.

Op kwartaalbasis, stuurt de ISO het productasset-dashboard naar de dienst Portfoliobeheer en elk afdelingshoofd ter herziening. De portfoliomanager herziet het productasset-dashboard voor volledigheid m.b.t. gekende producten en projecten om nieuwe producten te introduceren. Elk afdelingshoofd herziet eveneens het productasset-dashboard voor volledigheid voor zijn/haar afdeling, en bevestigt de POAO's (“Product Owners” of producteigenaars“AssetOwners” of informatieasset-eigenaars) van de producten informatieassets onder zijn/haar verantwoordelijkheid aan de ISA. Als alternatief en/of aanvulling voor de afdelingshoofden kan ook gewerkt worden met de “Team Coaches” (TC's) binnen elke afdeling.

Indien in een afdeling een nieuw product informatieasset of een belangrijke wijziging aan een bestaande product bestaand informatieasset wordt geïmplementeerd, dient het afdelingshoofd/TC de ISO te informeren met vermelding van de POAO, zodat deze het productasset-dashboard kan aanpassen en een IKB kan opstarten. Er moet dus niet gewacht worden op de periodieke herziening om een IKB op te starten.

De ISO neemt eveneens actie wanneer een IKB ouder is dan 1 jaar en vraagt in dat geval de PO AO van het desbetreffende product om de IKB te herzien.

Bij de herziening van een IKB voor een product door de PO, informatieasset dient ook de toetsing van technische maatregelen en de risicobeoordeling te worden herzien, zie desbetreffende procesbeschrijvingen.

De ISO noteert in het asset-dashboard:

  • de informatieasset-naam,

  • een korte beschrijving van het informatie-asset,

  • het type informatieasset,

  • de afdeling die eigenaar is van het informatie-asset,

  • de naam van de AO, en eventueel een bijkomende contactpersoon, en

  • de status van het informatieasset: nieuw, in ontwikkeling, in gebruik, buiten gebruik.

Uitvoering van de IKB

Een IKB wordt geïnitieerd:

  • bij de implementatie van een nieuw product of bij een belangrijke wijziging aan een bestaand product, door de POAO, of

  • voor bestaande producten door de ISO bij de herziening van het product-dashboard, waarbij de PO AO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar, of

  • voor bestaande producten door het afdelingshoofd of TC bij de herziening van het IKB dashboard en KPI’s, waarbij de PO AO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar.

De PO AO start de IKB bevraging door middel van het sjabloon Selectietool minimale maatregelen.

De PO AO stuurt de ingevulde bevraging ter validatie naar security@vlaanderen.be en dpo@vlaanderen.be.

De ISO zal een meeting inplannen met de AO om de bevraging te overlopen met de DPO (“Data Protection Officer”), samen met de PO.

Na de meeting bepaalt de ISO de IK voor zowel Beschikbaarheid, Integriteit en Vertrouwelijkheid als voor Persoonsgegevensen noteert of het informatieasset Persoonsgegevens bevat, zoals beschreven in Informatieclassificatieraamwerk (ICR).

De ISO laat de IK valideren door de CISO (“Chief Information Security Officer”), als dan niet via een gedelegeerd persoon binnen TIV, en indien nodig word de IK herbepaald en opnieuw een meeting ingepland hiervoor met de POAO.

Indien er persoonsgegevens worden beheerd verwerkt en de IK voor vertrouwelijkheid hoger is dan 2, vraagt de ISO aan de PO AO om een pre-DPIA (“Data Protection Impact Assessment”) uit te voeren, dewelke eveneens wordt gedocumenteerd door middel van het sjabloon Selectietool minimale maatregelen. De pre-DPIA wordt gevalideerd door de DPO die indien nodig een DPIA laat uitvoeren.

De ISO past het IKB dashboard aan met de informatie ingevuld in het sjabloon Selectietool minimale maatregelen, met de volgende velden:

  • Beschikbaarheid: score van 1 tot 5,

  • Integriteit: score van 1 tot 5,

  • Vertrouwelijkheid: score van 1 tot 5,

  • Persoonsgegevens: ja of nee,

  • Datum van uitvoering van de IKB,

  • Naam van de persoon die de IKB uitvoerde,

  • Review IKB, en

  • Status van de IKB.

De ISO start vervolgens het proces Toetsing toetsing van maatregelen met de POAO, zie https://vlaamseoverheid.atlassian.net/wiki/spaces/ISMS/pages/6503205176/Proces+-+Identificatie+van+maatregelen.

Rapportering

Op maandelijkse basis berekent de ISO de KPI’s voor het IKB proces, zie KPI's informatieklassebepaling.

De ISO stuurt maandelijks de berekende KPI’s samen met het product-dashboard naar de CISO ter herziening.

De ISO stuurt maandelijks de berekende KPI’s samen met het product-dashboard eveneens naar de afdelingshoofden en/of TCs. Op basis hiervan kan het afdelingshoofd en TC een PO AO aanspreken indien de IKB ontbreekt of overtijd is.

Op kwartaalbasis worden de berekende KPI’s samen met het product-dashboard door de CISO, de DV risicomanager en het DV directiecomité herzien als onderdeel van het stuurorgaan informatieveiligheid.