| Note |
|---|
Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt: |
4.2.2.1. Minimale algemene maatregelen
...
De minimale beschikbaarheid van het proces zelf is eveneens afhankelijk van het type en klasse van de getroffen informatie. We onderscheiden beschikbaarheid tijdens kantooruren (10ux5dagen) en permanente beschikbaarheid (24ux7dagen).
...
Klasse-onafhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid
IC klasse | Minimale maatregelen |
|---|
 Image Removed Image Removed | Klasse 1 en Klasse 2 kennen dezelfde maatregelen: | PAS TOE |
 Image Added
| Inrichten proces beheer van aanvragen: |
Serviceaanvraag heeft geen of lage impact;Klasse-afhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid
IC klasse | Minimale maatregelen |
|---|
| PAS TOE |
| Image AddedImage Added | Klasse 1 en Klasse 2 kennen dezelfde maatregelen: Serviceaanvraag heeft geen of lage impact; Automatische goedkeuring van de serviceaanvraag op voorwaarde dat het type wijziging vooraf door de CAB is goedgekeurd en gedocumenteerd;Inplannen van de serviceaanvraag; Uitvoeren van de serviceaanvraag; Post-validatie van de serviceaanvraag verplicht voor P1 serviceaanvragen;Afsluiten van de serviceaanvraag.
|
 | Alle maatregelen van Klasse 1 / Klasse 2 + Registratie van de aanvraag in een centraal beheerd logboek; De informatie in het logboek krijgt minimaal vertrouwelijkheidsklasse 3 – toepassen van de minimale maatregelen voor deze klasse; Impact serviceaanvraag minstens medium.
|
| PAS TOE OF LEG UIT |
 | Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Impact van serviceaanvraag is altijd hoog; Rapportering van uitgevoerde serviceaanvragen naar CAB; Post-validatie vanaf P2 serviceaanvragen met rapportering naar CAB.
|
 | Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 + Geen vooraf goedgekeurde wijzigingen toegelaten; Goedkeuring door CAB (inclusief DPO) met in acht name van scheiding van functies en 4EYES validatie; Altijd post-validatie met rapportering naar CAB/ DPO.
|
Integriteit: idem vertrouwelijkheid +
IC klasse | Minimale maatregelen |
|---|
 Image Removed | Indienen van de aanvraag bij een centraal meldpunt (helpdesk, team leader, ICT-correspondent); Registratie van de aanvraag in een logboek; Categorisatie van de serviceaanvraag (vraag om informatie of serviceaanvraag); Serviceaanvraag heeft geen of lage impact; Urgentie van de serviceaanvraag bepalen; Automatische goedkeuring van de serviceaanvraag op voorwaarde dat het type wijziging vooraf door de CAB is goedgekeurd en gedocumenteerd; Inplannen van de serviceaanvraag; Uitvoeren van de serviceaanvraag; Post-validatie van de serviceaanvraag verplicht voor P1 serviceaanvragen; Afsluiten van de serviceaanvraag.
|
| PAS TOE |
 | Alle maatregelen van Klasse 1 vertrouwelijkheid+ |  Image Removed | Alle maatregelen van Klasse 1 + Klasse 2 +
 Image Removed | Alle maatregelen van Klasse 1 + Klasse 2 +Klasse 3 +Impact van serviceaanvraag is altijd hoog; Rapportering van uitgevoerde serviceaanvragen naar CAB; Post-validatie vanaf P2 serviceaanvragen met rapportering naar CAB.
|  Image Removed | Alle maatregelen van Klasse 1 + Klasse 2 + Klasse 3 + Klasse 4 +Geen vooraf goedgekeurde wijzigingen toegelaten; Goedkeuring door CAB (inclusief DPO) met in acht name van scheiding van functies en 4EYES validatie; Altijd post-validatie met rapportering naar CAB/ DPO
|
Beschikbaarheid
IC klasse | Minimale maatregelen | Alle |
|---|
| PAS TOE |
 Image Added Image Added Image Added Image Added Image Added | Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen: |
...
Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van vertrouwelijkheid.
Integriteit
IC klasse | Minimale maatregelen |
|---|
| PAS TOE |
 Image Removed | Er zijn geen GDPR maatregelen voor Klasse 1, Klasse 2 |
| Maatregelen voor Klasse 3 Automatische goedkeuring van de serviceaanvraag op voorwaarde dat het type wijziging vooraf door de CAB inclusief DPO is goedgekeurd en gedocumenteerd; Rapportering van uitgevoerde serviceaanvragen naar CAB; Post-validatie vanaf P2 serviceaanvragen met rapportering naar CAB/ DPO
|
| PAS TOE OF LEG UIT |
 | Maatregelen voor Klasse 4: Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 + Geen vooraf goedgekeurde wijzigingen toegelaten; Goedkeuring door CAB (inclusief DPO) met in acht name van scheiding van functies en 4EYES validatie; Altijd post-validatie met rapportering naar CAB/ DPO.
|
| Er zijn geen GDPR maatregelen voor klasse 5. |
...
Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.
4.2.2.3. Minimale specifieke (
...
NIS2) maatregelen
In afwachting van de goedkeuringen omtrent NISII is op deze pagina ruimte voorzien voor toekomstige minimale specifieke NISII maatregelenNIS2 is een Europese richtlijn bedoeld om de cyberbeveiliging en weerbaarheid van kritieke diensten in EU-lidstaten te verbeteren.
Alle minimale algemene maatregelen worden verplicht toegepast (geen ‘leg uit’).
Afhankelijk van het CyFun zekerheidsniveau van de entiteit moet het proces voldoen aan volgende vereisten:
CyFun basis: zijn opgenomen in de klasse-onafhankelijke maatregelen;
CyFun belangrijk: de basisvereisten, aangevuld met automatisatie en toezicht van het proces;
CyFun essentieel: de vereisten voor ‘belangrijk’, aangevuld met integratie van het proces met andere processen waar nodig.
4.2.2.4. Minimale specifieke (KSZ) maatregelen
...
