Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Excerpt
nameInleiding

De procedure informatieklassebepaling (IKB) voor Digitaal Vlaanderen (DV) beschrijft hoe DV de informatieklasse (IK) van informatieassets bepaalt en rapporteert, zoals vereist in het beleidsdomein Informatiebescherming .

Inhoud

Table of Contents
maxLevel3
minLevel1
include
outlinefalse
indent
excludeInhoud
typelist
printabletrue
class

Start van de IKB

Team Informatieveiligheid (TIV) houdt een dashboard bij met gekende informatieassets. Een IKB wordt gestart vanuit TIV voor gekende informatieassets tijdens de periodieke herziening van dit dashboard, of vanuit de afdelingen bij de implementatie van een nieuw informatieasset, of een belangrijke wijziging aan een bestaande informatieasset.

Periodieke herziening

Analyse van de zakelijke omgeving

Op jaarbasis, initieert de informatiebeveiligingsfunctionaris (“Information Security Officer” (ISO)) van TIV een analyse van de zakelijke omgeving van DV, en inventariseert de ISO de informatieassets van DV. Een informatieasset is een bedrijfsmiddel dat informatie bevat (bijvoorbeeld een toepassing of een product) die waarde heeft voor de organisatie. Informatieassets worden beschouwd als waardevolle bezittingen van een organisatie omdat ze cruciale gegevens bevatten die nodig zijn voor het functioneren en de besluitvorming. Ze kunnen variëren in grootte en complexiteit, van individuele toepassingen op een werkstation tot bedrijfswijde toepassingen gebruikt in meerdere afdelingen. Ter verduidelijking van het onderwerp informatieassets, heeft TIV een handreiking ontwikkeld: Handreiking informatieassets.

De ISO kan starten met de lijst van afdelingen van DV (zowel afdelingen die kernprocessen van DV ondersteunen als afdelingen die de ondersteunende processen van DV ondersteunen) om op die manier de informatieassets per afdelinge identificeren met elk afdelingshoofd. Als alternatief en/of aanvulling voor het afdelingshoofd kan ook gewerkt worden met één of meerdere personen gedelegeerd door het afdelingshoofd binnen elke afdeling, bijvoorbeeld een team coach (TC) of zogenaamd Single Point of Contact (SPOC).

Producten zijn technologieën die DV beheert en aanbiedt aan de agentschappen van de Vlaamse overheid om deze te ondersteunen in hun digitale transformatie. Producten worden beschouwd als de voornaamste informatieassets van DV. Bijkomend moeten de afdelingen en processen zoals Strategie, Marketing, Communicatie, Finance, HR en ICT binnen DV worden beschouwd, en nagegaan worden welke informatieassets daar aanwezig zijn.

De ISO verzamel)t de informatie van de verschillende bronnen binnen DV. Alle assets worden opgenomen in het asset-dashboard voor DV. Dit asset-dashboard wordt eveneens gebruikt worden om per asset de gegevens te bewaren om de Key Performance Indicators (KPI’s) te berekenen voor de status van het risicobeheersproces, zodat deze kunnen gevalideerd worden door de relevante stakeholders.

Sommige informatieassets moeten beschouwd worden als generieke informatieassets. Voorbeelden zijn: MS Office, Sharepoint, Confluence,…. Deze generieke informatieassets worden op verschillende (zo niet alle) afdelingen van DV gebruikt en kunnen data bevatten van een zeer uiteenlopende aard en kriticiteit. In de analyse van bedrijfsprocessen van afdelingen, kunnen deze generieke assets op meerdere plaatsen vermeld worden. Echter generieke informatieassets worden slechts éénmalig opgenomen in het asset-dashboard.

Beheer van het asset-dashboard

Op jaarbasis, legt de ISO het asset-dashboard voor aan elk afdelingshoofd/TC/SPOC ter herziening. Elke verantwoordelijke herziet het asset-dashboard voor volledigheid en bevestigt de informatieasset-eigenaar (“Asset Owner” (AO)) van de informatieassets onder zijn/haar verantwoordelijkheid.

Indien in een afdeling een nieuw informatieasset of een belangrijke wijziging aan een bestaand informatieasset wordt geïmplementeerd, dient het afdelingshoofd/TC/SPOC de ISO te informeren met vermelding van de AO, zodat deze het asset-dashboard kan aanpassen en men een IKB kan opstarten. Er moet dus niet gewacht worden op de periodieke herziening om een IKB op te starten.

De ISO neemt eveneens actie wanneer een IKB ouder is dan 1 jaar en vraagt in dat geval de AO van het desbetreffende product om de IKB te herzien.

Bij de herziening van een IKB voor een informatieasset dient ook de toetsing van technische maatregelen en de risicobeoordeling te worden herzien, zie desbetreffende procesbeschrijvingen.

De ISO noteert in het asset-dashboard:

  • de informatieasset-naam,

  • een korte beschrijving van het informatie-asset,

  • het type informatieasset,

  • de afdeling die eigenaar is van het informatie-asset,

  • de naam van de AO, en eventueel een bijkomende contactpersoon, en

  • de status van het informatieasset: nieuw, in ontwikkeling, in gebruik, buiten gebruik.

Uitvoering van de IKB

Een IKB wordt geïnitieerd:

  • bij de implementatie van een nieuwe asset of bij een belangrijke wijziging aan een bestaande asset, door de AO, of

  • voor bestaande assets door de ISO bij de herziening van het asset-dashboard, waarbij de AO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar, of

  • voor bestaande assets door het afdelingshoofd of TC bij de herziening van het asset-dashboard en KPI’s, waarbij de AO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar.

De AO start de IKB bevraging door middel van een IKB-sjabloon dat door de ISO ter beschikking wordt gesteld. Het doel van het sjabloon is om door middel van een vragenlijst te komen tot een inschatting van de IK voor Beschikbaarheid, integriteit en vertrouwelijkheid, zoals beschreven in Informatieclassificatieraamwerk (ICR). De ISO stelt ook een handleiding ter beschikking voor het gebruik van het IKB-sjabloon.

De ISO zal een meeting inplannen met de AO om de bevraging te overlopen.

Na de meeting bepaalt de ISO de IK voor zowel Beschikbaarheid, Integriteit en Vertrouwelijkheid en noteert of het informatieasset Persoonsgegevens bevat.

De ISO laat de IK valideren door het Hoofd Informatiebeveiliging (“Chief Information Security Officer” (CISO)), al dan niet via een gedelegeerd persoon binnen TIV, en indien nodig wordt de IK herbepaald en opnieuw een meeting ingepland hiervoor met de AO.

Indien er persoonsgegevens worden verwerkt en de IK voor vertrouwelijkheid hoger is dan 2, vraagt de ISO aan de AO om een pre data protection impact assessment (pre-DPIA) uit te voeren, dewelke eveneens wordt gedocumenteerd door middel van een sjabloon dat wordt ter beschikking gesteld door de ISO. De pre-DPIA wordt gevalideerd door de Functionaris Gegevensbescherming (“Data Protection Officer” (DPO)). Indien nodig wordt dan door de ISO ook een data protection impact assessment (DPIA) opgestart met de AO op aangeven van de DPO.

De ISO past het asset-dashboard aan met de informatie ingevuld in het IKB-sjabloon met de volgende velden:

  • Beschikbaarheid: de IK voor de dimensie beschikbaarheid, aangegeven door een score van 1 tot 5,

  • Integriteit: de IK voor de dimensie integriteit, aangegeven door een score van 1 tot 5,

  • Vertrouwelijkheid: de IK voor de dimensie vertrouwelijkheid, aangegeven door een score van 1 tot 5,

  • Persoonsgegevens: ja of nee,

  • Datum van uitvoering van de IKB,

  • Naam van de persoon die de IKB uitvoerde,

  • Review datum IKB: uitvoeringsdatum + 1 jaar,

  • Status van de IKB: aangevraagd, gepland, bezig, afgewerkt, of on hold,

  • Status van de pre-DPIA: niet van toepassing, aangevraagd, gepland, bezig, afgewerkt, of on hold,

  • Status van de DPIA: niet van toepassing, aangevraagd, gepland, bezig, afgewerkt, of on hold.

Voor generieke informatieassets hoeft geen IKB bevraging te worden uitgevoerd en wordt de volgende score ingevuld:

  • Beschikbaarheid: 4,

  • Integriteit: 4,

  • Vertrouwelijkheid: 4,

  • Persoonsgegevens: ja.

De ISO start vervolgens het proces toetsing van maatregelen met de AO, zie https://vlaamseoverheid.atlassian.net/wiki/spaces/ISMS/pages/6503205176/Proces+-+Identificatie+van+maatregelen.

Rapportering

Op maandelijkse basis berekent de ISO de KPI’s voor het IKB proces, zie KPI's informatieklassebepaling.

De ISO stuurt maandelijks de berekende KPI’s samen naar de CISO ter herziening.

De ISO stuurt maandelijks de berekende KPI’s samen met het asset-dashboard naar elk afdelingshoofd/TC/SPOC. Op basis hiervan kan deze verantwoordelijke een AO aanspreken indien de IKB ontbreekt of overtijd is.

Op kwartaalbasis worden de berekende KPI’s samen met het product-dashboard door de CISO, de DPO, de DV risicomanager en het DV directiecomité gevalideerd.