Versions Compared

Version Old Version 1 New Version Current
Changes made by

Kenzo Vertenten (VO)

Kristel Van Aken

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Gaat over 

Is voor

Eigenaar 

Voorbeelden

Level 1

Wet- en regelgeving

Vo-breed

Wetgevende macht, regelgevende instantie

Wetten, decreten, enz
ISO27001 als basis voor ICR

Level 2 

Beleid op niveau Vo

Vo-breed 

Stuurorgaan Vlaams Informatie- en ICT-beleid

ICR

Level 3

Beleid op organisatieniveau

Entiteit 

Topmanagement (leidend ambtenaar, directeur, CEO, …)

Beleidsdocumenten van een entiteit, bvb paswoord beleid.

Level 4

Implementatie van het beleid

Entiteit

Topmanagement (leidend ambtenaar, directeur, CEO, …) 

Architectuur documenten
Technische firewall policies

 
Volgend schema illustreert de relatie tussen de 4 documentatieniveaus: 

...

Op niveau 1 situeert zich (onder andere) de AVG. Deze stelt dat de nodige technische en organisatorische maatregelen moeten worden genomen om persoonsgegevens te beveiligen.

Op niveau 2 vertaalt de AVG zich in een Vo-breed beleid onder vorm van het ICR, waar persoonsgegevens een vertrouwelijkheidsklasse 2, 3 of 4 toegemeten krijgen. Aan die klasse zijn bepaalde minimale maatregelen gekoppeld, onder andere IAM (controlemaatregelen over identiteit, authenticatie en autorisatie). Daarin staat (onder andere) dat voor gegevens van klasse 2 een eIDAS laag kan worden ingericht als authenticatiemaatregel. Voor dit type gegevens volstaat dus een account/paswoord als authenticatie. Maar het ICR bepaalt verder geen detail regels over hoe zo’n paswoord er moet uit zien.

...

  • De unieke en uniforme manier waarop de Vo de informatie uit level 1 positioneert en beantwoordt. (Dit document)

  • De manier waarop we de informatieverwerking koppelen aan een reeks te nemen maatregelen, gegroepeerd op basis van informatieklassen. (Dit document)

  • De koppeling van organisatorische en technische maatregelen aan een informatieklasse. (De minimale maatregelen)

    • ‘Minimale algemene maatregelen’ op basis van ISO27001/-2 standaarden zorgen voor de basis van een veilig en gestructureerde informatieverwerking.

    • ‘Minimale specifieke maatregelen’ op basis van specifieke regelgeving (bijvoorbeeld GDPR, maar ook andere regelgeving is mogelijk) vervolledigen de ‘Minimale algemene maatregelen

...

  • Doel van de informatieverwerking

  • Architectuur

    • Processtromen

      • Processen, eigen aan de specifieke informatieverwerking (specifieke toepassing)

      • Externe processen

        • Gebruiksbeheer en applicatie toegangen

        • Beheerderstoegangen

      • Informatiestromen

      • Informatiebeschrijving

        • Noodzaak van de informatie-attributen binnen de informatieverwerking 

  • Techniek

    • Technische componenten

      • Applicatie (inclusief externe componenten)

      • Beheer

    • Technische informatiestromen tussen de applicatie componenten

    • Toegangscontrole

      • Toepassing

      • Externe diensten en toepassingscomponenten

    • Genomen veiligheidsmaatregelen

      • Toepassing

      • Ondersteunende platformen

      • Beschikbare adviezen van leveranciers en de toepassing ervan

      • Netwerken

        • Firewall

        • IDS/ IDP

    • Technische ‘baselines’ en technische ‘policies’

...