Start van de IKB
Team Informatieveiligheid (TIV) houdt een dashboard bij met gekende informatieassets. Een IKB wordt gestart vanuit TIV voor gekende informatieassets tijdens de periodieke herziening van dit dashboard, of vanuit de afdelingen bij de implementatie van een nieuw informatieasset, of een belangrijke wijziging aan een bestaande informatieasset.
Periodieke herziening
Analyse van de zakelijke omgeving
Op jaarbasis, wordt door de Information Security Officer (ISO) van TIV een analyse van de zakelijke omgeving van DV gemaakt, en worden de informatieassets van DV geïnventariseerd. Een informatieasset is een bedrijfsmiddel dat informatie bevat (bijvoorbeeld een toepassing of een product) die waarde heeft voor de organisatie. Informatieassets worden beschouwd als waardevolle bezittingen van een organisatie omdat ze cruciale gegevens bevatten die nodig zijn voor het functioneren en de besluitvorming. Ze kunnen variëren in grootte en complexiteit, van individuele bestanden tot complete systemen of databases. Ter verduidelijking van het onderwerp informatieassets, heeft TIV een handreiking ontwikkeld: Handreiking informatieassets.
De ISO kan starten met de lijst van zakelijke processen van DV (zowel kernprocessen als ondersteunende processen) om op die manier de informatieassets per proces te identificeren. Producten zijn technologieën die DV beheert en aanbiedt aan de agentschappen van de Vo, om overheden te ondersteunen in hun digitale transformatie. Producten worden beschouwd als de voornaamste informatieassets van DV en worden in de kernprocessen beheerd. Bijkomend moeten de ondersteunende processen zoals Marketing, Finance, HR en TIV zelf binnen DV worden beschouwd, en nagegaan worden welke informatieassets daar aanwezig zijn.
De ISO verzamelt informatie van verschillende bronnen binnen DV. Alle assets worden opgelijst in een asset-dashboard. Dit asset-dashboard zal eveneens gebruikt worden om per asset de gegevens te bewaren om de Key Performance Indicators (KPI’s) te berekenen voor de status van elk ISMS proces.
Beheer van het asset-dashboard
Op kwartaalbasisjaarbasis, stuurt de ISO het asset-dashboard naar elk afdelingshoofd ter herziening. Elk afdelingshoofd herziet het asset-dashboard voor volledigheid voor zijn/haar afdeling, en bevestigt de AO's (“AssetOwners” of informatieasset-eigenaars) van de informatieassets onder zijn/haar verantwoordelijkheid. Als alternatief en/of aanvulling voor de afdelingshoofden kan ook gewerkt worden met “Team Coaches” (TC's) binnen elke afdeling.
Indien in een afdeling een nieuw informatieasset of een belangrijke wijziging aan een bestaand informatieasset wordt geïmplementeerd, dient het afdelingshoofd/TC de ISO te informeren met vermelding van de AO, zodat deze het asset-dashboard kan aanpassen en een IKB kan opstarten. Er moet dus niet gewacht worden op de periodieke herziening om een IKB op te starten.
De ISO neemt eveneens actie wanneer een IKB ouder is dan 1 jaar en vraagt in dat geval de AO van het desbetreffende product om de IKB te herzien.
Bij de herziening van een IKB voor een informatieasset dient ook de toetsing van technische maatregelen en de risicobeoordeling te worden herzien, zie desbetreffende procesbeschrijvingen.
De ISO noteert in het asset-dashboard:
de informatieasset-naam,
een korte beschrijving van het informatie-asset,
het type informatieasset,
de afdeling die eigenaar is van het informatie-asset,
de naam van de AO, en eventueel een bijkomende contactpersoon, en
de status van het informatieasset: nieuw, in ontwikkeling, in gebruik, buiten gebruik.
Uitvoering van de IKB
Een IKB wordt geïnitieerd:
bij de implementatie van een nieuw product of bij een belangrijke wijziging aan een bestaand product, door de AO, of
voor bestaande producten door de ISO bij de herziening van het product-dashboard, waarbij de AO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar, of
voor bestaande producten door het afdelingshoofd of TC bij de herziening van het IKB dashboard en KPI’s, waarbij de AO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar.
De AO start de IKB bevraging door middel van het sjabloon Selectietool minimale maatregelen.
De AO stuurt de ingevulde bevraging ter validatie naar security@vlaanderen.be.
De ISO zal een meeting inplannen met de AO om de bevraging te overlopen.
Na de meeting bepaalt de ISO de IK voor zowel Beschikbaarheid, Integriteit en Vertrouwelijkheid en noteert of het informatieasset Persoonsgegevens bevat, zoals beschreven in Informatieclassificatieraamwerk (ICR).
De ISO laat de IK valideren door de CISO (“Chief Information Security Officer”), al dan niet via een gedelegeerd persoon binnen TIV, en indien nodig word de IK herbepaald en opnieuw een meeting ingepland hiervoor met de AO.
Indien er persoonsgegevens worden verwerkt en de IK voor vertrouwelijkheid hoger is dan 2, vraagt de ISO aan de AO om een pre-DPIA (“Data Protection Impact Assessment”) uit te voeren, dewelke eveneens wordt gedocumenteerd door middel van het sjabloon Selectietool minimale maatregelen. De pre-DPIA wordt gevalideerd door de DPO die indien nodig een DPIA laat uitvoeren. Indien nodig wordt dan door de ISO ook een DPIA opgestart met de AO.
De ISO past het IKB dashboard aan met de informatie ingevuld in het sjabloon Selectietool minimale maatregelen, met de volgende velden:
Beschikbaarheid: score van 1 tot 5,
Integriteit: score van 1 tot 5,
Vertrouwelijkheid: score van 1 tot 5,
Persoonsgegevens: ja of nee,
Datum van uitvoering van de IKB,
Naam van de persoon die de IKB uitvoerde,
Review IKB, en
Status van de IKB,
Status van de pre-DPIA, en
Status van de DPIA.
De ISO start vervolgens het proces toetsing van maatregelen met de AO, zie https://vlaamseoverheid.atlassian.net/wiki/spaces/ISMS/pages/6503205176/Proces+-+Identificatie+van+maatregelen.
Rapportering
Op maandelijkse basis berekent de ISO de KPI’s voor het IKB proces, zie KPI's informatieklassebepaling.
De ISO stuurt maandelijks de berekende KPI’s samen met het product-dashboard naar de CISO ter herziening.
De ISO stuurt maandelijks de berekende KPI’s samen met het product-dashboard eveneens naar de afdelingshoofden en/of TCs. Op basis hiervan kan het afdelingshoofd en TC een AO aanspreken indien de IKB ontbreekt of overtijd is.
Op kwartaalbasis worden de berekende KPI’s samen met het product-dashboard door de CISO, de DV risicomanager en het DV directiecomité herzien als onderdeel van het stuurorgaan informatieveiligheid.