Page Comparison

• Alle ICT-componenten die deel uitmaken van de ICT-architectuur nodig voor de ICT-dienstverlening moeten gedefinieerd worden als configuratie-item in de CMS; 

• Elke ICT-component die ook een configuratie-item is, moet geregistreerd worden in de CMS; 

• Elk configuratie-item moet beheerd worden, d.w.z. toegevoegd indien nieuw, de nodige attributen wijzigen waar nodig, uit de CMS verwijderen zodra uitgefaseerd. 

• Van elk configuratie-item moet de status bijgehouden en up-to-date gehouden worden; 

• Jaarlijks moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

• Jaarlijks moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 +

• De informatie in de CMS krijgt minimaal integriteitsklasse 2 – toepassen van de minimale maatregelen voor deze klasse. 

Alle maatregelen van Klasse 1 + Klasse 2 / Klasse 3 +

• Tweemaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

• De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en). 

• Jaarlijks of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

Alle maatregelen van Klasse 1 + Klasse 2 / Klasse 3 + Klasse 4 +

• Viermaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

• De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en) en aan de DPO. 

• Tweemaal per jaar of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen:

• Beschikbaarheid van het proces asset- en configuratiebeheer is minimaal kantooruren (5d x 10u)

• Er zijn geen GDPR maatregelen voor Klasse 1. 

Klasse 2 t/m klasse 4 kennen dezelfde maatregelen:

• Jaarlijks of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

• De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en) en naar de DPO. 

• Jaarlijks of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

Er zijn geen GDPR maatregelen voor klasse 5. 

• Er zijn geen GDPR maatregelen voor Klasse 1 en klasse 2

Image RemovedImage Added

Maatregelen voor Klasse 3:

• Jaarlijks of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

• De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en) en naar de DPO. 

• Jaarlijks of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

Maatregelen voor Klasse 4:

Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 +

• Tweemaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid. 

Er zijn geen GDPR maatregelen voor Klasse 5.

Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen:

• De eigen mobiele toestellen duidelijk identificeren, veilig configureren (met de nodige anti-malware software en met software die alle data op het toestel vanop afstand kunnen wissen) en de identificatie bijhouden in een centraal register (Ref. KSZ 3.2.1 e). 

• Elke organisatie moet over een permanent bijgewerkte inventaris beschikken van het informaticamateriaal en de software (Ref. KSZ 5.5.2). 

• Elke organisatie moet een geactualiseerde cartografie bijhouden van de geïmplementeerde technische stromen via het Extranet van de sociale zekerheid. De veiligheidsconsulent moet hierover geïnformeerd worden (Ref. KSZ 5.10.4). 

• Elke organisatie moet alle middelen inclusief aangekochte of ontwikkelde systemen toevoegen aan het beheerssysteem van de operationele middelen (Ref. KSZ 5.11.12). 

• In functie van de rol voor een specifieke (groep) verwerking (verwerker of verwerkings-verantwoordelijke), minimaal de volgende activiteiten uitvoeren: 

* de opname van de verwerking in het centraal register van de verwerkingsverantwoordelijke of van de verwerker. (Ref. KSZ 5.15.2 b).