Versions Compared

Old Version 13

changes.mady.by.user Fabrice Meunier

Saved on

compared with

New Version 14

changes.mady.by.user Fabrice Meunier

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Excerpt
nameInleiding

Beheer van bedrijfsmiddelen heeft als hoofddoel om een volledig en actueel overzicht te hebben van alle configuratie-items in de organisatie.
Dit overzicht is cruciaal voor andere processen zoals incidentbeheer, patchmanagement, wijzigingsbeheer, enz. 

Inhoud

Table of Contents
maxLevel3
minLevel1
include
outlinefalse
indent
excludeInhoud
typelist
printabletrue
class

Doel

Dit beleid legt de maatregelen en principes vast die in rekening gebracht moeten worden bij het verwerken van persoonsgegevens door medewerkers van Digitaal Vlaanderen. Deze maatregelen en principes houden rekening met de wettelijke verplichtingen volgend uit de Algemene Verordening Gegevensbescherming (“AVG”) en de Belgische wetgeving die daarmee samenhangt.

(blue star) DOELSTELLINGEN

Het beleid draagt bij tot de realisatie van volgende informatieveiligheidsdoelstellingen van de organisatie:

Filter by label (Content by label)
showLabelsfalse
showSpacefalse
excerptTyperich content
cqllabel = "doelstellingen" and label in ( "beheer_van_bedrijfsmiddelen" , "informatiebeveiligingsgebeurtenissen" , "itsm" )

(blue star) DREIGINGEN

Het beleid draagt bij om de volgende dreigingen te verminderen of te voorkomen:

Filter by label (Content by label)
showLabelsfalse
sorttitle
showSpacefalse
cqllabel = "dreiging" and label in ( "beheer_van_bedrijfsmiddelen" , "itsm" , "informatiebeveiligingsgebeurtenissen" )

Beleid

  • Page:

    IM - Capaciteitsbeheer

  • Page:

    IM - Inventarisatie van informatie en andere gerelateerde bedrijfsmiddelen

    • Page:

    IM - Retourneren van bedrijfsmiddelen

    IT-servicemanagement (ITSM) is een manier om IT-diensten te beheren en te leveren. ITSM omvat een reeks processen en functies die samenwerken om IT-diensten efficiënt en effectief te leveren aan de organisatie en haar gebruikers.

    Er is een nauw verwantschap tussen ITSM en informatieveiligheid, een sterke samenwerking en integratie tussen beide is cruciaal voor het waarborgen van zowel effectieve IT-diensten als robuuste informatiebeveiliging binnen de organisatie.

    Asset- en Configuratiebeheer

    Wat is het verschil tussen een asset en een configuratie-item?

    In IT-beheer zijn assets alle bedrijfsmiddelen die waarde hebben voor een organisatie. Dit kan zowel tastbare zaken zijn, zoals hardware en software, als niet-tastbare zaken, zoals informatie en kennis. Configuratie-items zijn een specifieke subset van assets. Ze zijn tastbare zaken die actief worden beheerd en gevolgd binnen IT-servicebeheerprocessen.

    Wat is het belang van asset- en configuratiebeheer?

    Asset- en configuratiebeheer is het proces van het creëren en onderhouden van een nauwkeurig en compleet overzicht van alle configuratie-items in de organisatie. Dit overzicht is van vitaal belang voor verschillende IT-beheerprocessen, zoals incidentbeheer, patch management en wijzigingsbeheer.

    De doelen van asset- en configuratiebeheer zijn:

    • Het beheren van een steeds veranderende IT-infrastructuur

    • Het voorkomen van ongeautoriseerde versies van configuratie-items in productie

    • Het vereenvoudigen van kwetsbaarheidsbeheer

    • Het opsporen van niet-geautoriseerde apparatuur of wijzigingen

    Het beheer van assets en configuratie-items gebeurt in een Configuration Management System (CMS)

    Panel
    panelIconIdatlassian-info
    panelIcon:info:
    bgColor#FFFFFF

    In de praktijk worden de termen Configuration Management System (CMS) en Configuration Management Database (CMDB) vaak door elkaar gebruikt. Het verschil tussen een CMS en een CMDB is dat een CMS een bredere term is die verwijst naar elk systeem dat wordt gebruikt om informatie over CI's te beheren. Een CMDB is een specifieke implementatie van een CMS die gebruikmaakt van een database.

    Panel
    panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
    panelIcon:icon_beleidslijnen:
    panelIconText:icon_beleidslijnen:
    bgColor#F4F5F7

    Implementatiemaatregel

    Registratie

    Alle configuratie-items (CI's) MOETEN geïdentificeerd en geregistreerd worden in de Configuration Management System (CMS).

    Voor elk configuratie-item MOETEN de volgende attributen vastgelegd worden:

    • Type

    • Service componenten

    • Informatie klasse

    • Versienummering

    • Licentie-informatie

    • Locatie

    • Relaties met andere configuratie-item

    • Relaties met andere services of organisatie

    • Eigenaar

    • Status

    • Beschikbare documentatie

    • Audit trail

    Administratie

    De CMS MOET altijd actueel zijn.

    Alle wijzigingen aan configuratie-items MOETEN geregistreerd worden in de CMS.

    Voor alle wijzigingen aan configuratie-items MOET passende documentatie beschikbaar zijn.

    Er MOETEN procedures en werkinstructies beschikbaar zijn voor het afhandelen van nieuwe configuratie-items en wijzigingen aan bestaande configuratie-items.

    Statusbewaking

    De actuele en historische status van elk configuratie-item MOET geregistreerd worden.

    De datum van elke statusverandering MOET geregistreerd worden.

    Verificatie

    De gegevens in de CMS MOETEN op regelmatige tijdstippen gecontroleerd worden of deze nog actueel zijn. De frequentie van verificatie is afhankelijk van de informatieklasse:

    Informatieklasse 1 tem 3 (vertrouwelijkheid en integriteit)

    • Jaarlijks moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?

    • Jaarlijks moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is.

    Informatieklasse 4 (vertrouwelijkheid en integriteit)

    • Tweemaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?

    • De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en).

    • Jaarlijks of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is.

    Informatieklasse 5 (vertrouwelijkheid en integriteit)

    • Viermaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid?

    • De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en) en aan de DPO.

    • Tweemaal per jaar of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

    Capaciteitsbeheer

    Capaciteitsbeheer is het proces van het plannen, implementeren, beheren en bewaken van de capaciteit van de IT-infrastructuur om aan de behoeften van de organisatie te voldoen. Het is een essentieel proces voor het garanderen van de beschikbaarheid, performantie en betrouwbaarheid van de IT-dienstverlening.

    Panel
    panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
    panelIcon:icon_beleidslijnen:
    panelIconText:icon_beleidslijnen:
    bgColor#F4F5F7

    Implementatiemaatregel

    De behoeften van de organisatie aan capaciteit MOETEN worden gedefinieerd en gemeten. Dit omvat zowel de huidige als toekomstige behoeften.

    De capaciteit van de IT-infrastructuur MOET worden geanalyseerd om ervoor te zorgen dat deze voldoet aan de behoeften van de organisatie. Dit omvat zowel de huidige als toekomstige capaciteit.

    Er MOETEN capaciteitsplannen worden ontwikkeld om ervoor te zorgen dat de IT-infrastructuur voldoende capaciteit heeft om aan de behoeften van de organisatie te voldoen. Deze plannen MOETEN regelmatig worden herzien om ervoor te zorgen dat ze aan de actuele behoeften voldoen.

    De capaciteit van de IT-infrastructuur MOET worden gemonitord en bewaakt om ervoor te zorgen dat deze voldoet aan de capaciteitsplannen. Dit omvat het monitoren van de performantie, beschikbaarheid en betrouwbaarheid van de IT-infrastructuur.

    Event Management

    Event management (gebeurtenisbeheer) is het proces voor het detecteren, registreren, analyseren en reageren op gebeurtenissen die plaatsvinden in de ICT-infrastructuur. Het doel van event management is om de normale uitvoering van de ICT-infrastructuur te monitoren en onvoorziene omstandigheden te detecteren en te escaleren.

    Event management is gebaseerd op gebeurtenissen die gedetecteerd worden door monitoring- of systeemtools. Deze gebeurtenissen kunnen bijvoorbeeld zijn:

    • Een fout in een applicatie

    • Een storing in een netwerkcomponent

    • Een abnormale toename van het CPU-gebruik

    De gebeurtenissen die gedetecteerd worden, moeten relevant zijn voor de zakelijke of ICT-processen. Dit betekent dat ze een impact kunnen hebben op de beschikbaarheid, betrouwbaarheid of integriteit van deze processen.

    Het is belangrijk om de juiste gebeurtenissen te selecteren voor event management. Dit kan gedaan worden op basis van drie criteria:

    • Detecteerbaarheid: De gebeurtenis moet detecteerbaar zijn met behulp van monitoring- of systeemtools.

    • Relevantie: De gebeurtenis moet relevant zijn voor de zakelijke of ICT-processen.

    • Actiemogelijkheid: Er moet een actie gedefinieerd kunnen worden in reactie op de gebeurtenis.

    De bronsystemen of -toepassingen zijn verantwoordelijk voor het genereren van gebeurtenissen voor event management. Deze gebeurtenissen moeten geprioriteerd en gecategoriseerd worden door de bronsystemen.

    De belangrijkste input van het bronsysteem voor het event management proces bestaat uit:

    • De criticiteit van het bronsysteem

    • De door het bronsysteem gegenereerde gebeurtenissen

    • De typering van de gebeurtenis (informatief, waarschuwing, uitzondering)

    Event management beheert twee soorten gebeurtenissen:

    • Gebeurtenissen gegenereerd door het bronsysteem: Dit zijn de gebeurtenissen die oorspronkelijk door de bronsystemen of -toepassingen worden gegenereerd.

    • Het opvolgen van de beschikbaarheid en integriteit van deze gebeurtenissen: Dit omvat het controleren of de gebeurtenissen correct worden opgevangen door het event management proces en dat ze daadwerkelijk afkomstig zijn van het beoogde bronsysteem.

    Wat zijn gebeurtenissen?

    Gebeurtenissen (events) zijn waarneembare en meetbare veranderingen die impact kunnen hebben op ICT-infrastructuur of dienstverlening. Dit omvat fysieke omgevingsfactoren, systeemfouten en operationele berichten.

    Wat is het verschil tussen een gebeurtenis en een incident?

    Een incident is een ongeplande onderbreking of kwaliteitsvermindering in ICT-diensten. Een gebeurtenis is een statuswijziging die niet noodzakelijk een incident is.

    Wat is gebeurtenisbeheer?

    Gebeurtenisbeheer focust op het registreren en interpreteren van statuswijzigingen om tijdig in te grijpen. Het proces begint met de identificatie van belangrijke gebeurtenissen tijdens de ontwerpfase van het bronsysteem.

    Hoe werkt gebeurtenisbeheer?

    Gebeurtenisbeheer bestaat uit de volgende stappen:

    1. Detectie van gebeurtenissen uit systeem- en managementtools.

    2. Typering van gebeurtenissen als informatief, waarschuwend of uitzonderlijk.

    3. Filteren om irrelevante of redundante informatie uit te sluiten.

    4. Correleren van gebeurtenissen om verbanden en impact te bepalen.

    5. Bepalen van de juiste respons, variërend van automatische acties tot menselijke interventie of escalatie naar incidentbeheer.

    6. Review van acties om te verzekeren dat de reactie adequaat was.

    Wat zijn succesfactoren voor effectief gebeurtenisbeheer?

    Succesfactoren voor effectief gebeurtenisbeheer omvatten:

    • Correcte identificatie van belangrijke statuswijzigingen.

    • Definiëren van de juiste triggers voor interventie.

    • Erkennen van de 'normale' status om afwijkingen te kunnen beoordelen.

    Wat is het verschil tussen gebeurtenisbeheer en monitoring?

    Monitoring is breder dan gebeurtenisbeheer en continueert ook als er geen gebeurtenissen zijn. Het doel van monitoring is het bewaken van systeemstatussen en het genereren van gebeurtenissen voor verdere verwerking.

    Conclusie

    Gebeurtenisbeheer is cruciaal voor het handhaven van de stabiliteit en betrouwbaarheid van systemen en diensten. Het helpt om belangrijke veranderingen en potentiële problemen vroegtijdig te identificeren en aan te pakken.

    Panel
    panelIconId9e6f15e6-c999-4552-9c6b-2582a2016b24
    panelIcon:icon_beleidslijnen:
    panelIconText:icon_beleidslijnen:
    bgColor#F4F5F7

    Implementatiemaatregel

    Conformiteitstoetsing

    Hieronder vindt u een overzicht van de controles die worden ingezet voor het toetsen van de conformiteit aan het beleid.

    Door deze controles uit te voeren, kan de organisatie de effectiviteit van haar beleid verzekeren, eventuele nalevingsproblemen aanpakken en de algehele conformiteit met interne en externe vereisten verbeteren.

    Zie /wiki/spaces/ISMS/pages/6329503023 voor meer informatie.

    Type

    Controle

    Status
    colourYellow
    titleOPZET

    Status
    colourBlue
    titleBESTAAN

    Status
    colourGreen
    titleWERKING

    Appendix

    Relatie van het beleid met andere richtlijnen en standaarden

    Regelgeving en standaarden (L1)

    ISO 27001:2022 (Annex A)

    Page Properties Report
    firstcolumnTitel
    headingsBeheersmaatregel
    sortByTitle
    cqllabel = "iso" and label in ( "beheer_van_bedrijfsmiddelen" , "itsm" , "informatiebeveiligingsgebeurtenissen" ) and space = currentSpace ( ) and ancestor = "6329502795"

    Informatieveiligheidsstrategie van de Vlaamse overheid (L2)

    Zie voor meer informatie.

    Uitvoering van het beleid

    Processen

    Oplossingen

    Document status

    Titel

    Auteur

    Datum

    Versie

    Status

    Opmerkingen

    Page Properties
    hiddentrue
    idDS

    Document status (Metadata)

    Onderstaande gegevens worden gebruikt voor rapporteringsdoeleinden in documentregister

    Auteur

    Fabrice Meunier

    Status

    Status
    colourYellow
    titleCONCEPT

    Versie

    0.1

    status opties:

    Status
    colourYellow
    titleCONCEPT
    Status
    colourBlue
    titleIN REVIEW
    Status
    colourPurple
    titleFINAAL CONCEPT
    Status
    colourGreen
    titleGEVALIDEERD
    Status
    colourRed
    titleTE REVISEREN

    status eveneens aanpassen bovenaan deze pagina