Versions Compared

Version Old Version 3 New Version 4
Changes made by

Kristel Van Aken

Kristel Van Aken

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Info

Gewijzigde tekst ten opzichte van de vorige ICR versie is in rood aangeduid.

4.1.2.1. Minimale algemene maatregelen

Het beheren van van configuratie-items omvat  omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de getroffen informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn (zie hoofdstuk ‘De bouwstenen van asset- en configuratie beheer’)

  • Registratie; 

  • Administratie;

  • Statusbewaking;

  • Verificatie.

Het proces zelf is minimaal beschikbaar tijdens kantooruren (10ux5dagen).

De De CMS moet  moet 24x7 beschikbaar zijn.

  • De informatie in de CMS krijgt minimaal vertrouwelijkheidsklasse 3 en integriteitsklasse 2 toegewezen.

In volgende paragrafen worden enkele noodzakelijke attributen verduidelijkt.

Vertrouwelijkheid  

IC klasse

Minimale maatregelen

Image Removed
Image Removed

Image Removed
Image AddedImage AddedImage Added

Klasse 1, Klasse 2 

en 

en Klasse 3  kennen dezelfde maatregelen: 

  • Alle ICT-componenten die deel uitmaken van de ICT-architectuur nodig voor de ICT-dienstverlening moeten gedefinieerd worden als configuratie-item in de CMS; 

  • Elke ICT-component die ook een configuratie-item is, moet geregistreerd worden in de CMS; 

  • Elk configuratie-item moet beheerd worden, d.w.z. toegevoegd indien nieuw, de nodige attributen wijzigen waar nodig, uit de CMS verwijderen zodra uitgefaseerd. 

  • Van elk configuratie-item moet de status bijgehouden en up-to-date gehouden worden; 

  • Jaarlijks moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

  • Jaarlijks moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

Image Removed
Image Added

Alle maatregelen

van 

van Klasse 1 / Klasse 2 / Klasse 3 +

  • Tweemaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

  • De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en). 

  • Jaarlijks of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

Image Removed
Image Added

Alle maatregelen

van 

van Klasse 1 / Klasse 2 / Klasse 3 + Klasse 4 +

  • Viermaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

  • De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en) en aan de DPO. 

  • Tweemaal per jaar of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

Integriteit

IC klasse

Minimale maatregelen

Image Removed
Image Added

  • Alle ICT-componenten die deel uitmaken van de ICT-architectuur nodig voor de ICT-dienstverlening moeten gedefinieerd worden als configuratie-item in de CMS; 

  • Elke ICT-component die ook een configuratie-item is, moet geregistreerd worden in de CMS; 

  • Elk configuratie-item moet beheerd worden, d.w.z. toegevoegd indien nieuw, de nodige attributen wijzigen waar nodig, uit de CMS verwijderen zodra uitgefaseerd. 

  • Van elk configuratie-item moet de status bijgehouden en up-to-date gehouden worden; 

  • Jaarlijks moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

  • Jaarlijks moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

Image Removed

Image Removed
Image AddedImage Added

Klasse 2 

en 

en Klasse 3 kennen dezelfde maatregelen:

Alle maatregelen

van 

van Klasse 1 +

  • De informatie in de CMS krijgt minimaal integriteitsklasse 2 – toepassen van de minimale maatregelen voor deze klasse. 

Image Removed
Image Added

Alle maatregelen

van 

van Klasse 1 + Klasse 2 / Klasse 3 +

  • Tweemaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

  • De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en). 

  • Jaarlijks of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

Image Removed
Image Added

Alle maatregelen

van 

van Klasse 1 + Klasse 2 / Klasse 3 + Klasse 4 +

  • Viermaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

  • De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en) en aan de DPO. 

  • Tweemaal per jaar of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

Beschikbaarheid

IC klasse

Minimale maatregelen

Image Removed

Image Removed

Image Removed

Image Removed

Image Removed
Image AddedImage AddedImage AddedImage AddedImage Added

Klasse 1

 t

 t/m Klasse 5 kennen dezelfde maatregelen:

  • Beschikbaarheid van het

proces 
 is

  •  is minimaal kantooruren (5d x 10u)

4.1.2.2. Minimale specifieke (GDPR) maatregelen

De minimale algemene fysieke maatregelen moeten toegepast worden: per klasse zijn de de overeenkomende maatregelen maatregelen van toepassing.

Vertrouwelijkheid 

IC klasse

Minimale maatregelen

Image Removed
Image Added

  • Er zijn

geen GDPR maatregelen voor 

  • geen GDPR maatregelen voor Klasse 1

Image Removed

Image Removed

Image Removed

Image AddedImage AddedImage Added

Klasse 2

 t

 t/m klasse 4 kennen dezelfde maatregelen:

  • Jaarlijks of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

  • De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en) en naar de DPO. 

  • Jaarlijks of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

Image Removed
Image Added

Er zijn geen GDPR maatregelen voor klasse 5. 

Integriteit

IC klasse

Minimale maatregelen

Image Removed

Image Removed
Image AddedImage Added

  • Er zijn geen GDPR maatregelen

voor 

  • voor Klasse 1 en klasse 2

Image Removed

Image Added

Maatregelen voor Klasse 3:

  • Jaarlijks of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid? 

  • De resultaten van deze inhoudelijke verificatie worden gerapporteerd aan de betrokken toepassingseigena(a)r(en) en naar de DPO. 

  • Jaarlijks of na wijziging van de eigenaar moet geverifieerd worden of de eigenaar van elk configuratie-item nog correct geïdentificeerd is. 

Image Removed
Image Added

Maatregelen voor Klasse 4:

Alle maatregelen

van 

van Klasse 1 / Klasse 2 / Klasse 3 +

  • Tweemaal per jaar of na wijziging of release moeten de attributen van elk configuratie-item inhoudelijk geverifieerd worden: weerspiegelt de waarde van de attributen de geïnstalleerde werkelijkheid. 

Image Removed
Image Added

Er zijn geen GDPR maatregelen voor Klasse 5.

Beschikbaarheid

Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.

...

4.1.2.4. Minimale specifieke (KSZ) maatregelen

De minimale algemene maatregelen voor asset en configuratiebeheer moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk ‘minimale algemene maatregelen’).

Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen in het kader van asset en configuratiebeheer toegepast worden:

Beschikbaarheid, Integriteit & vertrouwelijkheid

IC klasse

Minimale maatregelen

Image Removed

Image Removed

Image Removed

Image Removed

Image Removed
Image AddedImage AddedImage AddedImage AddedImage Added

Klasse 1

 t

 t/m Klasse 5 kennen dezelfde maatregelen:

De

  • De eigen mobiele toestellen duidelijk identificeren, veilig configureren (met de nodige anti-malware software en met software die alle data op het toestel vanop afstand kunnen wissen) en de identificatie bijhouden in een centraal register (Ref. KSZ 3.2.1 e). 

  • Elke organisatie moet over een permanent bijgewerkte inventaris beschikken van het informaticamateriaal en de software (Ref. KSZ 5.5.2). 

  • Elke organisatie moet een geactualiseerde cartografie bijhouden van de geïmplementeerde technische stromen via het Extranet van de sociale zekerheid. De veiligheidsconsulent moet hierover geïnformeerd worden (Ref. KSZ 5.10.4). 

  • Elke organisatie moet alle middelen inclusief aangekochte of ontwikkelde systemen toevoegen aan het beheerssysteem van de operationele middelen (Ref. KSZ 5.11.12). 

  • In functie van de rol voor een specifieke (groep) verwerking (verwerker of verwerkings-verantwoordelijke), minimaal de volgende activiteiten uitvoeren: 

* de opname van de verwerking in het centraal register van de verwerkingsverantwoordelijke of van de verwerker. (Ref. KSZ 5.15.2 b).