Het omgaan en beheren van incidenten omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de getroffen informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn (zie https://vlaamseoverheid.atlassian.net/wiki/spaces/ICR/pages/6423447746#4.5.3.3.-De-bouwstenen-van-incident-beheer ):
...
IC klasse | Minimale maatregelen |
---|
| Klasse 1 en Klasse 2 kennen dezelfde maatregelen: Melden van een incident aan een meldpunt; Toewijzen van een categorie aan het incident; Impact van het incident: geen of lage impact; Urgentie van het incident bepalen: dit is afhankelijk van het type of aantal getroffen gebruikers of systemen; Registratie en documentatie van het incident minimaal in een logboek; Functionele escalatie indien het meldpunt het incident niet kan oplossen; Escalatie naar management van incidenten met prioriteit P1; Communicatie van het incident naar de getroffen gebruikers; Inperken van de gevolgen van het incident; Uitvoeren van een work around indien beschikbaar; Uitwerken van een permanente oplossing en deze indienen als wijziging indien beschikbaar; Rapporteren van het incident; Uitvoeren van lessons learned voor incidenten met prioriteit P1 na afsluiten van het incident
|
| Alle maatregelen van Klasse 1 / Klasse 2 + Impact van het incident: minimaal medium (want er is materiële schade mogelijk); Urgentie van het incident bepalen: dit is afhankelijk van het type of aantal getroffen gebruikers of systemen maar minimaal medium; Registratie van het incident in een centraal logboek onder beheer van een incident manager; Escalatie naar CISO/ ICT-coördinator; Uitvoeren van lessons learned na afsluiten van het incident.
|
| Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Impact van het incident: minimaal medium (want er is materiële schade mogelijk); Urgentie van het incident bepalen: dit is afhankelijk van het type of aantal getroffen gebruikers of systemen maar minimaal medium; Registratie van het incident in een centraal logboek onder beheer van een incident manager; Escalatie naar CISO/ ICT-coördinator; Uitvoeren van lessons learned na afsluiten van het incident.
|
| Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 + Impact van het incident: hoge impact (want ernstige materiële schade mogelijk); Urgentie van het incident: altijd hoog; Escalatie naar management van elk incident.
|
...
IC klasse | Minimale maatregelen |
---|
| Klasse 1 en Klasse 2 kennen dezelfde maatregelen: Melden van een incident aan een meldpunt; Toewijzen van een categorie aan het incident; Impact van het incident: geen of lage impact; Urgentie van het incident bepalen: dit is afhankelijk van het type of aantal getroffen gebruikers of systemen; Registratie en documentatie van het incident minimaal in een logboek; Functionele escalatie indien het meldpunt het incident niet kan oplossen; Escalatie naar management van incidenten met prioriteit P1; Communicatie van het incident naar de getroffen gebruikers; Inperken van de gevolgen van het incident; Uitvoeren van een work around indien beschikbaar; Uitwerken van een permanente oplossing en deze indienen als wijziging indien beschikbaar; Rapporteren van het incident; Uitvoeren van lessons learned voor incidenten met prioriteit P1 na afsluiten van het incident.
|
| Alle maatregelen van Klasse 1 / Klasse 2 + Impact van het incident: minimaal medium (want er is materiële schade mogelijk); Urgentie van het incident bepalen: dit is afhankelijk van het type of aantal getroffen gebruikers of systemen maar minimaal medium; Registratie van het incident in een centraal logboek onder beheer van een incident manager; Escalatie naar CISO/ ICT-coördinator; Uitvoeren van lessons learned na afsluiten van het incident.
|
| Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Impact van het incident: minimaal medium (want er is materiële schade mogelijk); Urgentie van het incident bepalen: dit is afhankelijk van het type of aantal getroffen gebruikers of systemen maar minimaal medium; Registratie van het incident in een centraal logboek onder beheer van een incident manager; Escalatie naar CISO/ ICT-coördinator; Uitvoeren van lessons learned na afsluiten van het incident.
|
| Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 + Impact van het incident: hoge impact (want ernstige materiële schade mogelijk); Urgentie van het incident: altijd hoog; Escalatie naar management van elk incident
|
...
IC klasse | Minimale maatregelen |
---|
| Klasse 1 en Klasse 2 kennen dezelfde maatregelen: |
| Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1 / Klasse 2 + |
...
IC klasse | Minimale maatregelen |
---|
| Klasse 1 en Klasse 2 kennen dezelfde maatregelen: |
| Alle maatregelen van Klasse 1 / Klasse 2 + Escalatie naar DPO indien aanwezig; Communicatie van het incident naar de getroffen gebruikers en eventueel VTC (volgens de criteria van VTC); Uitvoeren van lessons learned na afsluiten van het incident en met verplicht verbetertraject via release management
|
| Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + |
| Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 + |
...
IC klasse | Minimale maatregelen |
---|
Image RemovedImage RemovedImage RemovedImage RemovedImage Removed Image AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage Added | Klasse 1, Klasse 2,Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen: Elke organisatie moet een systeem en formele, geactualiseerde procedures installeren die toelaten om veiligheidsinbreuken te detecteren, op te volgen en te herstellen in verhouding tot het technisch/operationeel risico (Ref. 5.9.7). Elke organisatie moet: a. procedures hebben voor het vastleggen en beheren van incidenten over informatieveiligheid of privacy en de bijhorende verantwoordelijkheden. Deze procedures moeten bekend zijn bij alle medewerkers (Ref. 5.13.1 a). b. Vastleggen in de overeenkomst met de medewerkers dat elke medewerker (zowel vast of tijdelijk, intern of extern) verplicht is melding te maken van ongeautoriseerde toegang, gebruik, verandering, openbaring, verlies of vernietiging van informatie en informatiesystemen (Ref. 5.13.1 b). c. Gebeurtenissen en zwakheden over informatieveiligheid of privacy die verband houden met informatie en informatiesystemen van de organisatie zodanig kenbaar maken dat de organisatie tijdig en adequaat corrigerende maatregelen kan nemen (Ref. 5.13.1 c). d. Incidenten over informatieveiligheid en privacy zo snel als mogelijk via de leidinggevende, de helpdesk, de informatieveiligheidsconsulent (CISO) of functionaris van gegevensbescherming (DPO) rapporteren (Ref. 5.13.1 d). e. Bij incidenten over informatieveiligheid of privacy het bewijsmateriaal in overeenstemming met wettelijke en regelgevende voorschriften correct verzamelen (Ref. 5.13.1 e). f. Elk incident over informatieveiligheid of privacy formeel evalueren opdat procedures en controlemaatregelen verbeterd kunnen worden. De lessen die getrokken worden uit een incident dienen gecommuniceerd te worden naar de directie van de organisatie voor validatie en goedkeuring van verdere acties (Ref. 5.13.1 f). g. de ‘richtlijn rond incidentenbeheer’ toepassen zoals beschreven in de bijlage C van de beleidslijn ‘incidentenbeheer’ (Ref. 5.13.1 g). KSZ bijlage C van de beleidslijn incidentenbeheer: Verantwoordelijkheid en procedures opstellen; Zwakheden rapporteren; Gebeurtenissen identificeren en rapporteren; Beoordeling van/beslissen over gebeurtenissen; Verzamelen en veilig stellen van bewijsmateriaal; Reageren op en herstellen van incidenten; Leren uit incidenten via rapport en evaluatie; Meldingen bij privacy incidenten.
|