Versions Compared

Old Version 29

changes.mady.by.user Sven Claessens

Saved on

compared with

New Version 30

changes.mady.by.user Sven Claessens

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Veel aanpassingen gedaan: proberen actieve taal te gebruiken (de 'AO start' ipv 'wordt door de AO gestart'), maar ook aandacht voor de rol van de ISO, de AO, het afdelingshoofd en de volgorde en triggers wanneer en waarom iets moet gebeuren.
Excerpt
nameInleiding

De procedure informatieklassebepaling (IKB) voor Digitaal Vlaanderen (DV) beschrijft hoe DV de informatieklasse (IK) van informatieassets bepaalt en hierover rapporteert.

Inhoud

Table of Contents
class
minLevel1
maxLevel3
minLevel1
include
outlinefalse
indent
excludeInhoud, Contactpersonen voor dit proces
typelist
class
printabletrue

Start van de IKB

Team Informatieveiligheid (TIV) houdt een dashboard bij met gekende informatieassets. Een IKB wordt gestart vanuit TIV voor gekende informatieassets tijdens de periodieke herziening van dit dashboard, of vanuit de afdelingen De afdelingen (entiteiten?) starten een IKB (a) bij de implementatie van een nieuw informatieasset , of (b) een belangrijke wijziging aan een bestaande informatieasset.

Team Informatieveiligheid (TIV) herziet periodiek de IKB van reeds gekende informatieassets.

TIV volgt de status van het IKB op voor alle gekende informatieassets in een dashboard.

Periodieke herziening

Analyse van de zakelijke omgeving

Op jaarbasis, wordt door de Een Information Security Officer (ISO) van TIV een analyse van analyseert jaarlijks de zakelijke omgeving van DV gemaakt, en worden Digitaal Vlaanderen waarbij de de informatieassets van DV Digitaal Vlaanderen worden geïnventariseerd.

Info

Een informatieasset is een bedrijfsmiddel dat informatie bevat (bijvoorbeeld een toepassing of een product) die waarde heeft voor de organisatie.

Informatieassets worden beschouwd als waardevolle bezittingen van een organisatie omdat ze cruciale gegevens bevatten die nodig zijn voor het functioneren en de besluitvorming ervan. Ze kunnen variëren in grootte en complexiteit, van individuele bestanden tot complete systemen of databases. Ter verduidelijking van het onderwerp informatieassets, heeft TIV een handreiking ontwikkeld: Handreiking informatieassets.

De Een ISO kan starten start met de lijst van zakelijke processen van DV Digitaal Vlaanderen (zowel kernprocessen als ondersteunende processen) om op die manier de informatieassets per proces te identificeren. Producten zijn technologieën die DV Digitaal Vlaanderen beheert en aanbiedt aan de agentschappen van de VoVlaamse overheid, om overheden te ondersteunen in hun digitale transformatie. Producten worden beschouwd als de voornaamste informatieassets van DV Digitaal Vlaanderen en worden in de kernprocessen beheerd. Bijkomend moeten de ondersteunende processen zoals Marketing, Finance, HR en TIV zelf binnen DV Digitaal Vlaanderen worden beschouwd, en nagegaan worden welke informatieassets daar aanwezig zijn.

De ISO verzamelt informatie van verschillende bronnen binnen DV. Alle assets worden opgelijst in een asset-dashboard. Dit asset-dashboard zal eveneens gebruikt worden om per asset de gegevens te bewaren om de Key Performance Indicators (KPI’s) te berekenen voor de status van elk ISMS-proces.

Beheer van het asset-dashboard

Op jaarbasis, stuurt de ISO De ISO stuurt jaarlijks het asset-dashboard naar elk afdelingshoofd ter herziening. Elk afdelingshoofd herziet het asset-dashboard voor volledigheid voor hun afdeling, en bevestigt de AO's AOs (“AssetOwners” of informatieasset-eigenaars) van de informatieassets onder hun verantwoordelijkheid. Als alternatief en/of aanvulling voor de afdelingshoofden kan ook gewerkt worden met “Team Coaches” (TC'sTCs) binnen elke afdeling.

Indien in een afdeling een nieuw informatieasset of een belangrijke wijziging aan een bestaand informatieasset wordt geïmplementeerdimplementeert, dient het afdelingshoofd/TC de ISO te informeren met vermelding van de AO, zodat deze het asset-dashboard kan aanpassen en een IKB kan opstarten. Er moet dus niet gewacht worden op de periodieke herziening om een IKB op te starten.

De ISO neemt eveneens actie wanneer een IKB ouder is dan 1 jaar en vraagt in dat geval de AO van het desbetreffende product om de IKB te herzien.

Bij de herziening van een IKB voor een informatieasset dient ook de toetsing van technische maatregelen en de risicobeoordeling te worden herzien, zie desbetreffende procesbeschrijvingen.

De ISO noteert in het asset-dashboard:

  • de informatieasset-naam,

  • een korte beschrijving van het informatie-asset,

  • het type informatieasset,

  • de afdeling die eigenaar is van het informatie-asset,

  • de naam van de AO, en eventueel een bijkomende contactpersoon, en

  • de status van het informatieasset: nieuw, in ontwikkeling, in gebruik, buiten gebruik.

Uitvoering van de IKB

Een IKB wordt geïnitieerd:

  • door de Asset Owner bij de implementatie van een nieuw product of bij een belangrijke wijziging aan een bestaand product, door de AO, of

  • voor bestaande producten door de ISO bij de herziening van bestaande producten van het product-dashboard, waarbij de AO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar, of

  • voor bestaande producten door het afdelingshoofd of TC de Team Coach voor bestaande producten bij de herziening van het IKB dashboard en de KPI’s, waarbij de AO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar.

De AO start de IKB-bevraging door middel van het sjabloon Selectietool minimale maatregelen. (te openen in de desktop app)

De AO stuurt de ingevulde bevraging ter validatie naar security@vlaanderen.be.

De ISO zal een meeting inplannen met de AO om de bevraging te overlopen.

Na de meeting bepaalt de ISO de IK voor zowel Beschikbaarheid, Integriteit en Vertrouwelijkheid en noteert of het informatieasset Persoonsgegevens bevat, zoals beschreven in het Informatieclassificatieraamwerk (ICR).

De ISO laat de IK valideren door de CISO (“Chief Chief Information Security Officer”Officer), al dan niet via een gedelegeerd persoon binnen TIV, en indien nodig word wordt de IK herbepaald en opnieuw een meeting ingepland hiervoor met de AO.

Indien er persoonsgegevens worden verwerkt en de IK informatieklasse voor vertrouwelijkheid hoger is dan 2, vraagt voert de ISO aan de AO om een pre-DPIA (“Data Data Protection Impact Assessment”Assessment) uit te voeren, dewelke eveneens wordt gedocumenteerd door middel van het sjabloon Selectietool minimale maatregelen. De pre-DPIA wordt gevalideerd door de DPO . Indien van … de entiteit/afdeling (question).

De AO start een DPIA indien het resultaat van de pre-DPIA de noodzaak hiervoor aangeeft. (er stond: indien nodig wordt dan door de ISO ook een DPIA opgestart met de AO. → Draaien we het hier niet om eigenlijk? De ISO van DV zit in de lead en is derhalve een mogelijke blokkerende factor. De ISO van DV kan/zal assisteren, maar toch niet iedereen achternazitten tot het einderesultaat er is?)

De ISO past het IKB dashboard aan (kan dit niet automatisch?) met de informatie ingevuld in het sjabloon Selectietool minimale maatregelen, met de volgende velden:

  • Beschikbaarheid: score van 1 tot 5,

  • Integriteit: score van 1 tot 5,

  • Vertrouwelijkheid: score van 1 tot 5,

  • Persoonsgegevens: ja of nee,

  • Datum van uitvoering van de IKB,

  • Naam van de persoon die de IKB uitvoerde,

  • Review IKB (wat is deze parameter? een datum? een ja/nee?), en

  • Status van de IKB (welke statussen zijn er mogelijk?),

  • Status van de pre-DPIA (welke statussen zijn er mogelijk?), en

  • Status van de DPIA (welke statussen zijn er mogelijk?).

De ISO start vervolgens het proces toetsing van maatregelen met de AO, zie https://vlaamseoverheid.atlassian.net/wiki/spaces/ISMS/pages/6503205176/Proces+-+Identificatie+van+maatregelen. Zelfde opmerking hier → de Asset Owner moet weten wat die moet doen omdat die het proces op eigen houtje kan volgen, assistentie verlenen aan de AO is nog iets anders dan de ISO van DV actief processen starten.

Rapportering

Op maandelijkse basis berekent de ISO de KPI’s voor het IKB proces, zie KPI's informatieklassebepaling. → wat wordt er precies berekent op maandbasis? De vordering van het proces, niet de inhoud of beiden? Die getallen/cijfers komen toch automatisch voort uit het invullen van de documenten en behoeven (hopelijk) geen herberekening?

De ISO stuurt maandelijks de berekende KPI’s samen met het product-dashboard naar de CISO ter herziening. → waarom doorsturen als er een dashboard is: de CISO kan op elk moment het dashboard raadplegen om de informatie te vinden die die nodig heeft.

De ISO stuurt maandelijks de berekende KPI’s samen met het product-dashboard eveneens naar de afdelingshoofden en/of TCs. Op basis hiervan kan het afdelingshoofd en TC een AO aanspreken indien de IKB ontbreekt of overtijd is. → zelfde actie hier: het dashboard kan (moet?) in zijn geheel of gefilterd ter beschikking worden gesteld van de afdelingshoofden. Een maandelijkse herinnering “kijk het dashboard na” is te verkiezen boven telkens subsets van dezelfde data door te sturen.

Op kwartaalbasis worden de (berekende) KPI’s samen met het product-dashboard (of asset-dashboard?) door de CISO, de DV risicomanager Digitaal Vlaanderen risicomanager (wie?) en het DV Digitaal Vlaanderen directiecomité herzien.

Relevante documenten

Contactpersonen voor dit proces

  • Nathalie Claeys

  • Jochen Dewachter

  • Guido Calomme

  • Sven Claessens