Versions Compared

Version Old Version 5 New Version Current
Changes made by

Kristel Van Aken

Kristel Van Aken

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

4.6.2.1. Minimale algemene maatregelen

...

De minimale beschikbaarheid van het proces 'beheer van problemen' zelf is eveneens afhankelijk van het type en klasse van de getroffen informatie. We onderscheiden beschikbaarheid tijdens kantooruren (10ux5dagen) en permanente beschikbaarheid (24ux7dagen).

Klasse-onafhankelijke maatregelen voor beschikbaarheid, integriteit en vertrouwelijkheid

IC klasse

 Minimale maatregelen 

PAS TOE

image-20241202-132811.png

Inrichten , documenteren, valideren en regelmatig reviewen van een van een proces voor beheer van problemen:

  • Registratie van het probleem vanuit het proces incidentbeheer;

  • Classificatie van het probleem – dezelfde classificatie als voor incidenten wordt toegepast;

  • Mensen en middelen alloceren;

  • Onderzoek en diagnose uitvoeren;

  • Gekende fout documenteren (KED);

  • Actie ondernemen:

    • Geplande wijziging: deze wordt verder opgenomen door wijzigingsbeheer;

    • Niet-geplande wijziging: deze wordt verder opgenomen door release en deployment beheer;

    • Indien beslist wordt om geen actie te ondernemen en indien er een rest risico aanwezig is, moet dit rest risico formeel geaccepteerd worden.

  • Probleem afsluiten

Klasse-afhankelijke maatregelen

Vertrouwelijkheid en integriteit

IC klasse

 Minimale maatregelen 

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

  • Enkel P1 incidenten moeten verplicht doorgegeven worden naar probleembeheer;

  • Gekende fout documenteren (KED) voor P1 problemen. 

Alle maatregelen van Klasse 1 / Klasse 2 +

  • Incidenten vanaf P2 moeten verplicht doorgegeven worden naar probleembeheer;

  • Opzetten rol probleembeheerder;

  • Registratie van het probleem in een centraal logboek onder beheer van een probleembeheerder;

  • Gekende fout documenteren (KED) voor problemen vanaf P2.

PAS TOE OF LEG UIT

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

  • Alle incidenten moeten verplicht doorgegeven worden naar probleembeheer;

  • Alle gekende fouten documenteren (KED).

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

  • Er moet steeds actie ondernomen worden door middel van een geplande (via wijzigingsbeheer) of niet-geplande (via release en deployment beheer) wijziging

...

IC klasse

 Minimale maatregelen 

PAS TOE

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

  • Beschikbaarheid van het proces probleembeheer is minimaal kantooruren (5d x 10u) 

Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1/Klasse 2 +

  • Beschikbaarheid van het proces probleembeheer is 24u x 7d.

...

IC klasse

 Minimale maatregelen 

PAS TOE

Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

  • Alle incidenten moeten verplicht doorgegeven worden naar probleembeheer;

  • Alle gekende fouten documenteren (KED).

PAS TOE OF LEG UIT

Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 Er moet steeds actie ondernomen worden door middel van een geplande (via wijzigingsbeheer) of niet-geplande (via release en deployment beheer) wijziging.

...

4.6.2.3. Minimale specifieke (NIS2) maatregelen

NIS2 is een Europese richtlijn  bedoeld om de cyberbeveiliging en weerbaarheid van kritieke diensten in EU-lidstaten te verbeteren.

 Alle minimale algemene maatregelen worden verplicht toegepast (geen ‘leg uit’).

4.6.2.4. Minimale specifieke (KSZ) maatregelen

...