Versions Compared

Version Old Version 1 New Version 2
Changes made by

Kenzo Vertenten (VO)

Tom De Cubber

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Aanpassingen ICR3.0 + link updates + warning banner

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

5.5.2.1. Minimale maatregelen

Vertrouwelijkheid &  Integriteit

IC klasse

Minimale maatregelen

Image RemovedImage Removed

 Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

 

  • Analyse van de zakelijke omgeving;

  • Toepassen van de minimale maatregelen volgens Vo informatieclassificatie raamwerk;

  • Validatie: maturiteit bepalen van de minimale maatregelen.

Image RemovedImage Removed

Klasse 3 en Klasse 4 kennen dezelfde maatregelen:

 

Alle maatregelen van Klasse 1 / Klasse 2 +

 

Risico identificatie  Klasse 1 en Klasse 2

IC klasse

Minimale maatregelen

Image RemovedImage Removed

PAS TOE 

Image AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage AddedImage Added

Klasse 1, Klasse 2, Klasse 3 en Klasse 4 kennen dezelfde maatregelen:

 

  • Analyse van de zakelijke omgeving;

  • Toepassen van de minimale maatregelen volgens Vo informatieclassificatie raamwerk;

    • Validatie: maturiteit bepalen van de minimale maatregelen.

Image RemovedImage Removed

Klasse 3 en Klasse 4 kennen dezelfde maatregelen:

 

Alle maatregelen van Klasse 1 / Klasse 2 +

 

  • Risico identificatie met alle stakeholders inclusief CISO;

  • Risicoanalyse met alle stakeholders inclusief CISO;

  • Risico evaluatie waarbij minimaal het huidig risiconiveau, het gewenste risiconiveau en het restrisico bepaald wordt;

  • Formele aanvaarding van het restrisico door topmanagement;

  • Risicostrategie bepalen: risico's worden gemitigeerd, geaccepteerd, vermeden of overgedragen;

  • Risico behandelen volgens gekozen risicostrategie met rapportering aan het topmanagement en aan CISO;

  • Communicatie en overleg met alle stakeholders;

  • Opvolgen implementatie risicostrategie;

  • Beoordelen risicostrategie met rapportering aan topmanagement en aan CISO.

Image Removed

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 / Klasse 4 +

 

  • Risicostrategie bepalen: mitigeren, accepteren of vermijden (overdragen is niet toegestaan voor klasse 5)

 

 Integriteit

    • Formele bepaling van de risico appetijt door topmanagement (jaarlijks te bevestigen of aan te passen) 

  • Risico identificatie met alle stakeholders inclusief CISO. Hiervoor dienen minstens volgende categorieën beschouwd te worden (deze lijst is niet-uitputtend):

    • Hard- en software (inclusief diensten); 

    • Data (inclusief datacenters); 

    • De organisatie (inclusief gebouwen en de menselijke factor); 

    • Omgevingsfactoren (inclusief de volledige supply chain); 

  • Risicoanalyse met alle stakeholders inclusief CISO;

Risicoanalyse met alle stakeholders inclusief CISO;

    • De analyse moet gedocumenteerd worden en verspreid naar relevante stakeholders;  

  • Risico evaluatie waarbij minimaal het huidig risiconiveau, het gewenste risiconiveau en het restrisico bepaald wordt;

Formele aanvaarding van het restrisico door topmanagement;Opvolgen implementatie risicostrategie

    • Minstens jaarlijks of bij significante wijzigingen in de omgeving (infrastructuur, dienstverlening, dreigingen); 

  • Risicostrategie bepalen: risico's worden gemitigeerd, geaccepteerd, vermeden of overgedragen;

    • Opvolgen implementatie risicostrategie;

  • Risico behandelen volgens gekozen risicostrategie met rapportering aan het topmanagement en aan CISO;

  • Communicatie en overleg met alle stakeholders;

      • Rekening houdend met prioriteit die uit de risicoanalyse is gekomen 

      • Formele aanvaarding van het restrisico door topmanagement;

      • Beoordelen risicostrategie met rapportering aan topmanagement en aan CISO.

    Image Removed

    • Communicatie en overleg met alle stakeholders;

    PAS TOE OF LEG UIT

    Image AddedImage Added

    Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 / Klasse 4 +

     

    • Risicostrategie bepalen: mitigeren, accepteren of vermijden (overdragen is niet toegestaan voor klasse 5)

     
    Beschikbaarheid

    Image RemovedImage Removed

    IC klasse

    Minimale maatregelen

    PAS TOE

    Image AddedImage AddedImage AddedImage Added

    Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

     

    • Analyse van de zakelijke omgeving;

    • Toepassen van de minimale maatregelen volgens Vo informatieclassificatie raamwerk;

    • Validatie: maturiteit bepalen van de minimale maatregelen.

    		Image RemovedImage Removed

    , Klasse 2, Klasse 3 en Klasse 4 kennen dezelfde maatregelen: 

    Alle maatregelen van Klasse 1 / Klasse 2 +

     

    • Beschikbaarheid proces beheer van risico’s (10ux5dagen); Risicoanalyse met alle stakeholders inclusief CISO;

    • Risico evaluatie waarbij minimaal het huidig risiconiveau, het gewenste risiconiveau en het restrisico bepaald wordt;

    • Formele aanvaarding van het restrisico door topmanagement;

    • Risicostrategie bepalen: risico's worden gemitigeerd, geaccepteerd, vermeden of overgedragen;

    • Risico behandelen volgens gekozen risicostrategie met rapportering aan het topmanagement en aan CISO;

    • Communicatie en overleg met alle stakeholders;

    • Opvolgen implementatie risicostrategie;

    • Beoordelen risicostrategie met rapportering aan topmanagement en aan CISO.

    Alle maatregelen van Klasse 1 / Klasse 2 + / Klasse 3 / Klasse 4 +

     

    • Risicostrategie  Risicostrategie bepalen: mitigeren, accepteren of vermijden (overdragen is niet toegestaan voor klasse 5)

    • Beschikbaarheid proces beheer van risico’s (24ux7dagen);

    5.5.2.2. Minimale specifieke (GDPR) maatregelen

    ...

    Image RemovedImage Removed

    IC klasse

    Minimale maatregelen

    Image AddedImage Added

    Er zijn geen specifieke GDPR maatregelen voor Klasse 1

    Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

     

    Geen

    GDPR specifieke maatregelen voor Klasse 2:

     Geen maatregelen maar ter herinnering: jaarlijks moet een revaluatie uitgevoerd worden van de informatieklasse en waar nodig bijgestuurd. 

    Image RemovedImage Removed

    Klasse 3 en Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

    Alle maatregelen van Klasse 1 / Klasse 2 +

     

    • Risico identificatie met alle stakeholders inclusief CISO en DPO;

    • Risicoanalyse met alle stakeholders inclusief CISO en DPO;

    • Risicobehandeling volgens gekozen risicostrategie met rapportering aan het topmanagement en aan CISO en DPO;

    • Beoordelen risicostrategie met rapportering aan topmanagement en aan CISO en DPO.

    Image AddedImage Added

    Er zijn geen specifieke GDPR maatregelen voor Klasse 5.

     

    Beschikbaarheid

    Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.

    5.5.2.3. Minimale specifieke (NISII) maatregelen

    In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII maatregelener zijn geen specifieke maatregelen voor NIS2 die al niet in de algemene minimale maatregelen geïntegreerd zijn.

    5.5.2.4. Minimale specifieke (KSZ) maatregelen

    ...

    IC klasse

    Minimale maatregelen

    Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen: 

    • De organisatie moet bij elk proces en bij elk project een risico-beoordeling rond informatieveiligheid en privacy uitvoeren, valideren, communiceren en onderhouden (Ref. KSZ 5.2.2 a). 

    • Alle risico-beoordelingen met een hoog residueel risico communiceren naar de directie voor bespreking en beslissing : behandelen of aanvaarden (Ref. KSZ 5.2.2 b). 

    • De richtlijn rond risico-beoordeling toepassen zoals vermeld in bijlage C van de beleidslijn ‘Risico-beoordeling’ (Ref. KSZ 5.2.2 c):  

      • In de regel beslist de verwerkingsverantwoordelijke vrij over de procedure en methodologie die hij wenst te hanteren bij het inschatten en beheren van risico’s, op voorwaarde dat deze beantwoordt aan een aantal minimumkenmerken van betrouwbaarheid en objectiviteit. Zo moet het risicobeheer volgende elementen bevatten: Methodologisch onderbouwd, gestructureerd, op maat, begrijpelijk, voldoende genuanceerd. Met voldoende communicatie, consultatie, beheer en nazicht.  

    • De controlemaatregelen afstemmen op de risico’s, waarbij rekening dient te worden gehouden met technische mogelijkheden en de kosten van de te nemen maatregelen (Ref. 5.5.1 f).  

    • Een risico-beoordeling uitvoeren om de gepaste methode te bepalen voor het wissen van een informatiedrager (Ref. KSZ. 5.8.3 c). 

    • Overeenkomsten met derde partijen alle vereisten omvatten om risico’s van informatieveiligheid en privacy te behandelen die geassocieerd zijn met ICT diensten (Ref. KSZ 5.12.1 d).