Versions Compared

Version Old Version 1 New Version 2
Changes made by

Kenzo Vertenten (VO)

Kristel Van Aken

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Het beheren van wijzigingsaanvragen omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de getroffen informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn (zie hoofdstuk: ‘De bouwstenen van wijzigingsbeheer’):

  • Registratie van de wijzigingsaanvraag;

  • Goedkeuring van de wijzigingsaanvraag;

  •  Impact van de wijziging bepalen;

  • Urgentie van de wijziging bepalen;

  • Inplannen van de wijziging;

  • Uitvoeren van de wijziging;

  • Validatie van de wijziging;

  • Evaluatie van de wijziging (lessons learned);

  • Afsluiten van de wijziging.

De minimale beschikbaarheid van het proces wijzigingsbeheer zelf is eveneens afhankelijk van het type en klasse van de getroffen informatie. We onderscheiden beschikbaarheid tijdens kantooruren (10ux5dagen) en permanente beschikbaarheid (24ux7dagen).

...

Elke wijzigingsaanvraag wordt geregistreerd. Minimaal wordt hiervoor een logboek aangelegd, dit kan eventueel een manueel onderhouden document zijn. Het is mogelijk dat er verschillende logboeken voor wijzigingen bestaan, bijvoorbeeld omdat er met verschillende leveranciers en verschillende CAB’s wordt gewerkt. Het logboek staat onder controle van de eigen organisatie maar het beheer ervan kan uitbesteed worden.

...

De toepassingseigenaar is steeds betrokken bij de goedkeuring van wijzigingsaanvragen die impact hebben op de toepassing maar sommige wijzigingen moeten via de CAB goedgekeurd worden. Voor kleinere organisaties zonder formele CAB worden meerdere partijen bij de goedkeuring betrokken, bvb de veiligheidsconsulent of DPO.

Volgende scenario’s zijn mogelijk:

...

IC klasse  

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

  • Registratie van de wijzigingsaanvraag in een logboek;

  • De informatie in het logboek krijgt minimaal vertrouwelijkheidsklasse 2 toegewezen;

  • Impact van de wijziging bepalen;

  • Urgentie van de wijziging bepalen;

  • Minstens goedkeuring van de wijzigingsaanvraag door de toepassingseigenaar;

  • Inplannen van de wijziging;

  • Uitvoeren van de wijziging;

  • Validatie van de wijziging voorafgaand aan in productie name is verplicht voor architecturale en functionele wijzigingen;

  • Evaluatie van de wijziging (lessons learned) voor P1 wijzigingen (als gevolg van incidenten of noodwijzigingen);

  • Afsluiten van de wijziging.

Alle maatregelen van Klasse 1 Klasse 2 +

  • Registratie van de wijzigingsaanvraag in een logboek onder beheer van een wijzigingsbeheerder;

  • Impact van de wijziging is minstens medium;

  • Goedkeuring van de wijzigingsaanvraag via CAB;

  • Validatie van de wijziging voorafgaand aan in productie name is altijd verplicht;

  • Evaluatie van de wijziging (lessons learned) vanaf P2 wijzigingen. 

Alle maatregelen van Klasse 1 Klasse 2 Klasse 3 +

  • Impact van de wijziging is altijd hoog;

  • Validatie van de wijziging voorafgaand aan in productie name en post-validatie;

  • Altijd evaluatie van de wijziging (lessons learned).

Alle maatregelen van Klasse 1 Klasse 2 Klasse 3 + Klasse 4 +

  • Registratie van de wijzigingsaanvraag in een centraal logboek onder beheer van een wijzigingsbeheerder;

  • De informatie in het logboek krijgt minimaal vertrouwelijkheidsklasse 3 toegewezen;

  • Goedkeuring van de wijzigingsaanvraag via CAB en DPO met in acht name van scheiding van functies en 4EYES validatie

Integriteit

IC klasse  

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

  • Registratie van de wijzigingsaanvraag in een logboek;

  • De informatie in het logboek krijgt minimaal vertrouwelijkheidsklasse 2 toegewezen;

  • Impact van de wijziging bepalen;

  • Urgentie van de wijziging bepalen;

  • Minstens goedkeuring van de wijzigingsaanvraag door de toepassingseigenaar;

  • Inplannen van de wijziging;

  • Uitvoeren van de wijziging;

  • Validatie van de wijziging voorafgaand aan in productie name is verplicht voor architecturale en functionele wijzigingen;

  • Evaluatie van de wijziging (lessons learned) voor P1 wijzigingen (als gevolg van incidenten of noodwijzigingen);

  • Afsluiten van de wijziging.

Alle maatregelen van Klasse 1 Klasse 2 +

  • Registratie van de wijzigingsaanvraag in een logboek onder beheer van een wijzigingsbeheerder;

  • Impact van de wijziging is minstens medium;

  • Goedkeuring van de wijzigingsaanvraag via CAB;

  • Validatie van de wijziging voorafgaand aan in productie name is altijd verplicht;

  • Evaluatie van de wijziging (lessons learned) vanaf P2 wijzigingen. 

Alle maatregelen van Klasse 1 Klasse 2 Klasse 3

  • Impact van de wijziging is altijd hoog;

  • Validatie van de wijziging voorafgaand aan in productie name en post-validatie;

  • Altijd evaluatie van de wijziging (lessons learned).

Alle maatregelen van Klasse 1 Klasse 2 Klasse 3 + Klasse 4 +

  • Registratie van de wijzigingsaanvraag in een centraal logboek onder beheer van een wijzigingsbeheerder;

  • De informatie in het logboek krijgt minimaal vertrouwelijkheidsklasse 3 toegewezen;

  • Goedkeuring van de wijzigingsaanvraag via CAB en DPO met in acht name van scheiding van functies en 4EYES validatie

...

IC klasse  

Minimale maatregelen

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

  • Beschikbaarheid van het proces wijzigingsbeheer is minimaal kantooruren (5d x 10u)

Klasse 3 + Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 Klasse 2 +

  •  Beschikbaarheid van het proces wijzigingsbeheer is 24u x 7d.

...

De minimale algemene maatregelen voor wijzigingsbeheer moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie hoofdstuk 'minimale algemene maatregelen').

Vertrouwelijkheid

IC klasse  

Minimale maatregelen

Klasse 1, Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

  • Goedkeuring van de wijzigingsaanvraag via CAB inclusief DPO;

  • Validatie van de wijziging voorafgaand aan in productie name en post-validatie altijd verplicht.

  • Altijd evaluatie van de wijziging (lessons learned)

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 Klasse 2 Klasse 3

  • Goedkeuring van de wijzigingsaanvraag via CAB en DPO met in acht name van scheiding van functies en 4EYES validatie.

...

IC klasse  

Minimale maatregelen

Klasse 1Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

  • Goedkeuring van de wijzigingsaanvraag via CAB inclusief DPO;

  • Validatie van de wijziging voorafgaand aan in productie name en post-validatie altijd verplicht.

  • Altijd evaluatie van de wijziging (lessons learned)

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Klasse 1 Klasse 2 Klasse 3 +

  • Goedkeuring van de wijzigingsaanvraag via CAB en DPO met in acht name van scheiding van functies en 4EYES validatie.

...

Beschikbaarheid

Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.

4.4.2.3. Minimale specifieke (

...

NIS2) maatregelen

In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII maatregelen.

4.4.2.4. Minimale specifieke (KSZ) maatregelen

Er zijn geen KSZ specifieke minimale normen rond wijzigingsbeheer.

...