Versions Compared

Old Version 1

changes.mady.by.user Hijke Maes

Saved on

compared with

New Version Current

changes.mady.by.user Yentl Goossens

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Zoals uitgelegd in het paragraaf 1.2.34.1.       Componenten van het ICRZoals uitgelegd in het document ‘Vo informatieclassificatie – organisatie – informatieveiligheidVier niveau's van documentatie , behoort het ICR tot documentatie level 2. Het bestaat uit volgende componenten:

  • De basis van het raamwerk wordt gevormd door de informatieklassen. Er zijn 5 klassen, telkens voor vertrouwelijkheid, integriteit en beschikbaarheid (zie 1.3.2. Kwaliteitskenmerken voor ICR ).
    Elk significant informatie-asset moet een klasse voor vertrouwelijkheid, een klasse voor integriteit en een klasse voor beschikbaarheid toegewezen krijgen. Dit proces is cruciaal omdat het de basis vastlegt voor de beveiliging van het informatie-asset.

  • Het bepalen van de informatieklassen voor een informatie-asset is een eerste, belangrijke stap om te bepalen welke technische en organisatorische maatregelen moeten worden genomen om het geschikte niveau van veiligheid te bereiken. Deze maatregelen vormen het tweede element in het raamwerk. Er zijn minimale maatregelen gedefinieerd binnen het raamwerk voor elke informatieklasse.

Structuur

De structuur van het ICR ziet er als volgt uit:

...

Opzet ICR

Het ICR omvat de volgende documentenhoofdstukken:

 1.2.3.2.      Hoe het ICR toe te passen in de praktijk

Het ICR toepassen begint met een inventarisatie van alle significante informatie-assets waarover een entiteit beschikt. Per informatie-asset wordt dan de klasse bepaalt voor vertrouwelijkheid, integriteit en beschikbaarheid. Om de entiteiten hierbij te helpen, werd een toolset samengesteld, deze vind je op Informatieclassificatieraamwerk | Vlaanderen.be.

Met elk van de klassen komt een set minimale maatregelen overeen. De entiteit zorgt voor een passend niveau van beveiliging voor elke geïnventariseerde informatie-asset door middel van het ‘pas toe of leg uit’ principe:

  • Het toepassen van de minimale maatregelen zoals bepaald voor de informatieklasse van toepassing (‘pas toe’ principe).

  • Indien een minimale maatregel niet kan worden toegepast, dan moet er transparant gecommuniceerd worden (‘leg uit’ principe):

    • Ofwel voorziet de entiteit in een set van complementaire maatregelen die samen minstens een gelijkwaardig niveau van beveiliging bereikt. Deze afwijking van de minimale maatregelen moet gedocumenteerd worden en goedgekeurd door de hoogste instantie van de entiteit (leidend ambtenaar of gelijkwaardig).

    • Ofwel is een toepassing of evenwaardige maatregel niet mogelijk, dan moet er een zwaarwegende reden voorhanden zijn en die moet dan gedocumenteerd worden en goedgekeurd door de hoogste instantie van de entiteit (leidend ambtenaar of gelijkwaardig).

3.2.1.  Levenscyclus

Eigenaars van informatie bekijken regelmatig of de informatieklasse nog steeds relevant en correct is. Het topmanagement (leidend ambtenaar of directeur) is verantwoordelijk voor de informatie(verwerking) en dus aansprakelijk dat een periodieke evaluatie wordt uitgevoerd. Aan de entiteiten wordt aangeraden deze activiteit te integreren in haar veiligheidsplan.

De frequentie van deze oefening hangt af van de informatieklasse:

  • Informatieklasses 1, 2 en 3:

Minstens jaarlijks.

  • Informatieklasses 4 en 5:

  • Minstens jaarlijks,

  • Bij significante wijziging van de informatieverwerking

  • Bij significante wijzigingen in de criteria en/of maatregelen.

Een mogelijk gevolg van deze oefening is het bijsturen van organisatorische en technische maatregelen op data die nu anders ingeschaald is.

3.2.2.  Link met risicobeheer

Informatiebeveiliging is geen doel op zich, maar beoogt de risico’s ten aanzien van vertrouwelijkheid, integriteit en beschikbaarheid te voorkomen of op z’n minst te verlagen tot een voor de organisatie aanvaardbaar niveau. Risicobeheer is dan ook een belangrijk concept binnen informatiebeveiliging.

Een risico-gebaseerde aanpak is dan ook de basis van het ICR. Voor informatieklassen 1 en 2 volstaat het implementeren van de minimale maatregelen, omdat deze inherent voldoen om de risico’s op deze informatie-assets te mitigeren. Dat neemt niet weg dat een entiteit ook hier nog op basis van een risicoanalyse kan bepalen welke risico’s het al dan niet aanvaardt en welke maatregelen het hier tegenover stelt. Voor informatieklassen 3, 4 en 5 wordt risicobeheer echter expliciet gemaakt: hier volstaat het niet om de minimale maatregelen toe te passen maar is steeds een risicoanalyse en risicobehandeling bij de verwerking van deze informatie-assets vereist. Dit is de verantwoordelijkheid van de entiteit.

3.3.      Informatieklassen

3.3.1.  Relatie tussen vertrouwelijkheid en integriteit

Vertrouwelijkheid en integriteit hebben geen één-op-één relatie. Conform de opzet en structuur van de informatieklassen, bevatten de minimale algemene maatregelen de basis om aan vertrouwelijkheids- en aan integriteitvereisten tegemoet te komen. Op basis van specifieke regelgeving zullen deze minimale algemene maatregelen uitgebreid worden met minimale specifieke maatregelen. De eigenaar of verwerker van de informatie kan op basis van geïdentificeerde risico’s beslissen om bijkomend maatregelen te identificeren en in te richten of om het risico op een andere manier te behandelen (risico-overdracht, risico-acceptatie).

Vertrouwelijkheids- en integriteitsklassen en beschikbaarheidsklassen worden onafhankelijk van elkaar toegekend aan informatie. Het kan dus gebeuren dat informatie een bepaalde klasse voor vertrouwelijkheid toegekend krijgt – bv. 2 – en een andere voor integriteit – bv. 3. In dit geval moeten de minimale maatregelen voor klasse 2 voor vertrouwelijkheid en voor klasse 3 voor integriteit toegepast worden. Het komt vaak voor dat een maatregel zowel vertrouwelijkheid als integriteit bedient. In dit geval wordt de maatregel voor de hoogste klasse toegepast – in het voorbeeld klasse 3 (integriteit). Een maatregel die uitsluitend vertrouwelijkheid of uitsluitend integriteit afdekt, hoeft aan deze regel niet te voldoen.

 3.3.2.  Relatie tussen informatieklasse en impact

Het toekennen van informatieklassen aan informatie-assets heeft als doel (relatief) eenvoudig en consistent in te schatten welke controlemaatregelen we nodig hebben om de vertrouwelijkheid, integriteit en beschikbaarheid van de asset op gepast niveau te borgen. Om dit te kunnen doen, moeten we eerst inzicht krijgen in de gevolgen als niet voldaan wordt aan de vertrouwelijkheid, integriteit of beschikbaarheid van de asset. We gaan na welke impact er zou zijn indien de asset gecompromitteerd zou worden, dus als er een inbreuk zou plaatsvinden.

 3.4.      Impact

3.4.1.  Definitie van de impactschalen

We identificeren een informatieklasse door na te gaan wat het (potentieel) gevolg kan zijn van een inbreuk op de vertrouwelijkheid, integriteit en beschikbaarheid van informatie.

De impact is gebaseerd op de potentiële schade van een inbreuk. Deze impact schalen rangschikken we oplopend van lage tot onbestaande impact of schade in Klasse 1, tot bedreigende impact of schade in Klasse 5. Op deze manier worden deze impact of schade schalen uniek verbonden aan de kwaliteitsgraden in het informatieclassificatieraamwerk.

3.4.2.  Impact van de gebruikte criteria

In het ICR gebruiken we deze criteria:

  • Informatieveiligheidsstandaarden als basis (ISO27001/2);

  • Regelgevingen, die leiden tot een vaste informatieklasse;

  • Contractuele verbintenissen die leiden tot een vaste informatieklasse;

  • Impact van potentiële inbreuken op basis van onderstaande impact schalen en hun referentie criteria.

Het is hierbij belangrijk het onderwerp van de betrokken regelgeving (en/of contractuele verbintenis) correct te interpreteren.

In specifieke regelgeving kan dit anders liggen. Het bekendste voorbeeld hiervan is de GDPR-wetgeving die het individu beschermt tegen risico’s verbonden aan het verwerken van informatie door anderen dan de burger zelf. In GDPR-context is men verplicht om, naast de ’gevolgen van inbreuken voor de organisatie’ ook, de ’gevolgen van inbreuken op het betrokken individu in kaart te brengen en te evalueren’.

3.4.3.  Inschatting van de impact

Wanneer we het hebben over impact, maken we onderscheid tussen materiële en immateriële schade.

Materiële schade

Materiële schade is het meest ‘tastbaar’. Het heeft betrekking op schade waarbij de grootte van het nadeel relatief gemakkelijk monetair uit te drukken is. Doorgaans speken we hierbij over:

  • Fysische schade

    • Schade aan voorwerpen en goederen

    • Letselschade of schade aan personen beperkt in tijd die niet resulteren in immateriële schade

  • Financiële schade

  • Economische schade

    • Tijdelijke (technische) werkloosheid van het personeel

  • Verminderde dienstverlening aan burgers en/of bedrijven

    • Voorbeelden van materiële schade:
      Kosten bij aankoop vervangingsgoederen en diensten, inkomensverlies, pensioenschade, kosten van huishoudelijke hulp, ziektekosten (ziekenhuiskosten, kosten fysiotherapeut, kosten hulpmiddelen), kosten woningaanpassing, extra reiskosten, stijgende verzekeringspremie, telefoonkosten en juridische hulp

Immateriële schade

Immateriële schade is minder makkelijk aanwijsbaar en is veel lastiger uit te drukken in geld. In de meeste gevallen is de compensatie van de schade erg hoog of erg moeilijk tot onmogelijk. We spreken hierbij over:

...

Geestelijke schade, pijn, trauma of smart, gemis, verdriet, verlies van levensvreugde, angsten

...

  • Verlies van fysieke vrijheid

  • Verlies van vrijheid van handelen

  • Verlies van beroep

  • Verlies van vrijetijdsbesteding

  • Fysische schade, gedeeltelijke of volledige onbeschikbaarheid van handelen, in extreme vormen bedreigend voor het voortbestaan van:

    • Personen

    • Organisaties

    • Diensten

  • Sociale schade, verlies van sociale contacten

  • Reputatieschade verbonden aan:

    • Personen

    • Organisaties

    • Producten

    • Diensten

Voorbeeld:      Smaad of laster. Een kritisch artikel over iemands wangedrag kan volkomen rechtmatig zijn ook al schaadt het de betrokkene in zijn reputatie.

3.5.      Impactschalen

In het organisatiedocument Informatieveiligheid  hebben we het verschil (en de gelijkenissen) tussen informatiebeveiliging en bescherming van persoonsgegevens uitgelegd. We definiëren ook impactschalen vanuit het standpunt van de generieke organisatie en vanuit het standpunt van individuen (GDPR).

3.5.1.  Generieke impactschalen

Rekening houdend met de materiële en immateriële schade, definiëren we de volgende impact schalen, deze zijn generiek en stellen zich in het standpunt van de organisatie:

...

Definities van impact op de organisatie

...

Verwaarloosbare impact/schade

Geen impact op de organisatie.

Dienstverlening (het leveren van informatie en informatie verwerkende systemen aan de burger of organisatie) kan langere tijd (meer dan een maand) onbeschikbaar zijn zonder significante gevolgen voor de organisatie of voor de burger.

Er zijn geen kritische bedrijfsmomenten.

...

Minimale impact/schade

Bijsturing van de criteria en/of maatregelen zijn aangewezen om de dienstverlening te ondersteunen.

Niet beschikbare dienstverlening langer dan één maand heeft significante gevolgen voor de organisatie of de burger.

Er zijn geen kritische bedrijfsmomenten.

...

Belangrijke impact/schade

Bijsturing van de criteria en/of maatregelen zijn noodzakelijk om de dienstverlening te ondersteunen.

Het lopende werkingsbudget ondersteunt de financiële middelen.

Niet beschikbare dienstverlening langer dan één week heeft significante gevolgen voor de organisatie of de burger.

Er kunnen kritische bedrijfsmomenten optreden, waarop een onbeschikbaarheid van meer dan 24 uur significante gevolgen heeft voor de organisatie of burger.

...

Ernstige impact/schade

Bijsturing van de criteria en/of maatregelen zijn noodzakelijk op korte termijn, om de dienstverlening te ondersteunen.

Reservering van financiële middelen is noodzakelijk en hebben invloed op lopende en toekomstige werkingsbudgetten.

Niet beschikbare dienstverlening langer dan 72 uur heeft significante gevolgen voor de organisatie of de burger.

Er kunnen kritische bedrijfsmomenten optreden, waarop een onbeschikbaarheid van meer dan 12 uur significante gevolgen heeft voor de organisatie of de burger.

...

Bedreigende impact/schade

Bijsturing van de criteria en/of maatregelen zijn noodzakelijk om het voortbestaan van de dienstverlening te garanderen.

Reservering van financiële middelen is noodzakelijk en overstijgen lopende en toekomstige budgetten.

Bedreigend voor het voortbestaan van de organisatie.

Niet beschikbare dienstverlening langer dan 24 uur heeft significante gevolgen voor de organisatie of de burger.

Er kunnen kritische bedrijfsmomenten optreden, waarop een onbeschikbaarheid van meer dan 2 uur significante gevolgen heeft voor de organisatie of de burger.

3.5.2.  Specifieke impactschalen voor persoonsgegevens (GDPR)

Onderstaande impact schalen zijn specifiek gericht op de evaluatie van persoonsgegevens. De wetgeving (GDPR) heeft het individu als onderwerp:

Opmerking:     Onderstaande schalen gebruiken we als evaluatie van restrisico’s nadat de maatregelen gedetailleerd in de overeenkomstige specifieke maatregelen zijn genomen.

...

Definities van impact op het individu

...

Verwaarloosbare impact/schade

Materiële schade

  • Geen tot verwaarloosbare financiële schade voor het individu

  • Geen aantoonbare impact op de levenskwaliteit

Immateriële schade

  • Geen tot minimale immateriële schade voor het individu

  • Eigenwaarde

  • Reputatie en stigmatisering

...

Minimale impact/schade

Materiële schade

  • Minimale financiële schade voor het individu

  • Geen aantoonbare impact op de levenskwaliteit

  • Potentiële compensatie mogelijk zonder juridische dwangmaatregelen

Immateriële schade

  • Geen tot minimale immateriële schade voor het individu

  • Eigenwaarde

  • Reputatie en stigmatisering

...

Belangrijke impact/schade

Materiële schade

  • Belangrijke financiële schade voor het individu

  • Geen aantoonbare blijvende impact op de levenskwaliteit

  • Potentiële compensatie mogelijk op basis van juridische dwangmaatregelen

Immateriële schade

  • Geen tot minimale immateriële schade voor het individu

  • Eigenwaarde

  • Reputatie en stigmatisering

...

Ernstige impact/schade

Materiële schade

  • Belangrijke financiële schade voor het individu

  • Aantoonbare blijvende impact op de levenskwaliteit

  • Compensatie mogelijk op basis van juridische dwangmaatregelen

Immateriële schade

  • Ernstige immateriële schade voor het individu

    • Eigenwaarde

    • Reputatie en stigmatisering

    • Gelijkheid

    • Integriteit van de persoon

    • Ongestoord leven

    • Autonomie

  • Fysieke integriteit

    • Verlies aan zelfstandigheid

    • Bewegingsvrijheid

...

Bedreigende impact/schade

Materiële schade

  • Beëindigen financiële autonomie

  • Compensatie onmogelijk

Immateriële schade

  • Fysieke integriteit

    • Marteling en mishandeling met, al dan niet, blijvende fysieke of psychologisch trauma

  • Levensbeëindiging

3.5.3.  Informatieklassen voor vertrouwelijkheid en integriteit

Door de koppeling van de impactschalen aan de klassen van informatie, worden zowel voor vertrouwelijkheid als integriteit 5 klassen voorzien. Gebruik makend van deze 5 impactschalen kunnen de klassen van vertrouwelijkheid en integriteit geïdentificeerd worden:

...

schaal

...

Vertrouwelijkheid

...

schaal

...

Integriteit

...

Organisatie:

  • De informatie is consulteerbaar door iedereen.

  • Er is geen of verwaarloosbare impact als de informatie publiek is.

  • De dienstverlening blijft gegarandeerd als de informatie publiek is.

Personen:

  • Er is geen tot minimale materiële schade (financiële schade, levenskwaliteit) voor het individu indien de betrokken persoonsgegevens publiek zijn.

  • Er is geen tot minimale immateriële schade voor het individu indien de betrokken persoonsgegevens publiek zijn.

...

Organisatie:

  • Schending van de integriteit (foutieve informatie, wijziging door onbevoegden) heeft geen of verwaarloosbare impact op de organisatie.

  • De dienstverlening blijft gegarandeerd als de informatie gewijzigd wordt.

Personen:

  • Er is geen tot minimale materiële schade (financiële schade, levenskwaliteit) voor het individu indien de betrokken persoonsgegevens foutief zijn.

  • Er is geen tot minimale immateriële schade voor het individu indien de betrokken persoonsgegevens foutief zijn.

...

Organisatie:

  • De informatie is toegankelijk voor alle medewerkers van de organisatie.

  • Bijsturing van de criteria en/of maatregelen zijn aangewezen indien de vertrouwelijkheid geschonden is.

Personen:

  • Er is materiële schade voor het individu indien de betrokken persoonsgegevens consulteerbaar zijn door onbevoegden:

    • minimale financiële schade;

    • geen aantoonbare impact op levenskwaliteit;

    • potentiële compensatie is mogelijk zonder juridische dwangmaatregelen.

  • Er is geen tot minimale immateriële schade voor het individu indien de betrokken persoonsgegevens consulteerbaar zijn door onbevoegden.

...

Organisatie:

  • Minimale fouten in de informatie zijn toegestaan.

  • De organisatie heeft geen directe hinder indien de informatie gewijzigd wordt door onbevoegden.

  • Bijsturing van de criteria en/of maatregelen zijn aangewezen indien de integriteit geschonden wordt.

Personen:

  • Er is materiële schade voor het individu indien de betrokken persoonsgegevens foutief zijn:

    • minimale financiële schade;

    • geen aantoonbare impact op levenskwaliteit;

    • potentiële compensatie is mogelijk zonder juridische dwangmaatregelen.

  • Er is geen tot minimale immateriële schade voor het individu indien de betrokken persoonsgegevens foutief zijn.

...

Organisatie:

  • De informatie is toegankelijk voor een grote groep gebruikers.

  • Bijsturing van de criteria en/of maatregelen zijn noodzakelijk indien de vertrouwelijkheid geschonden is, maar dit is nog mogelijk binnen het lopende werkingsbudget.

Personen:

  • Er is materiële schade voor het individu indien de betrokken persoonsgegevens consulteerbaar zijn door onbevoegden:

    • belangrijke financiële schade voor het individu;

    • geen aantoonbare blijvende impact op de levenskwaliteit;

    • potentiële compensatie is mogelijk op basis van juridische dwangmaatregelen.

  • Er is geen tot minimale immateriële schade voor het individu indien de betrokken persoonsgegevens consulteerbaar zijn door onbevoegden.

...

Organisatie:

  • Bijsturing van de criteria en/of maatregelen zijn noodzakelijk indien de integriteit geschonden wordt, maar dit is nog mogelijk binnen het lopende werkingsbudget.

Personen:

  • Er is materiële schade voor het individu indien de betrokken persoonsgegevens foutief zijn:

    • belangrijke financiële schade voor het individu;

    • geen aantoonbare blijvende impact op de levenskwaliteit;

    • potentiële compensatie is mogelijk op basis van juridische dwangmaatregelen.

  • Er is geen tot minimale immateriële schade voor het individu indien de betrokken persoonsgegevens foutief zijn.

...

Organisatie:

  • De informatie is toegankelijk voor een beperkte groep gebruikers.

  • Bijsturing van de criteria en of maatregelen zijn noodzakelijk op korte termijn indien de vertrouwelijkheid geschonden is en reservering van bijkomende financiële middelen is hiervoor noodzakelijk.

Personen:

  • Er is materiële schade voor het individu indien de betrokken persoonsgegevens consulteerbaar zijn door onbevoegden:

    • belangrijke financiële schade voor het individu en/of;

    • aantoonbare blijvende impact op de levenskwaliteit;

    • potentiële compensatie is mogelijk op basis van juridische dwangmaatregelen.

  • Er is ernstige immateriële schade voor het individu indien de betrokken persoonsgegevens consulteerbaar zijn door onbevoegden.

  • De fysieke integriteit (zelfstandigheid, bewegingsvrijheid) van het individu wordt in zekere mate aangetast indien de betrokken persoonsgegevens consulteerbaar zijn door onbevoegden.

...

Organisatie:

  • Bijsturing van de criteria en of maatregelen zijn noodzakelijk op korte termijn indien de integriteit geschonden is en reservering van bijkomende financiële middelen is noodzakelijk.

Personen:

  • Er is materiële schade voor het individu indien de betrokken persoonsgegevens foutief zijn:

    • belangrijke financiële schade voor het individu en/of;

    • aantoonbare blijvende impact op de levenskwaliteit;

    • potentiële compensatie is mogelijk op basis van juridische dwangmaatregelen.

  • Er is ernstige immateriële schade voor het individu indien de betrokken persoonsgegevens foutief zijn.

  • De fysieke integriteit (zelfstandigheid, bewegingsvrijheid) van het individu wordt in zekere mate aangetast indien de betrokken persoonsgegevens foutief zijn.

...

Organisatie:

  • De informatie is toegankelijk voor een selecte groep gebruikers.

  • Bijsturing van criteria en/of maatregelen zijn noodzakelijk indien de vertrouwelijkheid geschonden is en dit vereist reservering van financiële middelen die de lopende en toekomstige budgetten overschrijden.

  • Schending van de vertrouwelijkheid bedreigt het voortbestaan van de organisatie.

Personen:

  • Er is materiële schade aan het individu indien de betrokken persoonsgegevens toegankelijk zijn voor onbevoegden:

    • beëindigen van de financiële autonomie;

    • compensatie is onmogelijk.

  • De fysieke integriteit (zelfstandigheid, bewegingsvrijheid) van het individu wordt in grote mate aangetast indien de betrokken persoonsgegevens consulteerbaar zijn door onbevoegden.

...

Organisatie:

  • Er worden geen fouten in de informatie of wijziging door onbevoegden getolereerd.

  • Bijsturing van criteria en/of maatregelen zijn noodzakelijk indien de integriteit geschonden is en dit vereist reservering van financiële middelen die de lopende en toekomstige budgetten overschrijden.

  • Het voorkomen van fouten in de informatie bedreigt het voortbestaan van de organisatie.

Personen:

  • Er is materiële schade aan het individu indien de betrokken persoonsgegevens foutief zijn:

    • beëindigen van de financiële autonomie;

    • compensatie is onmogelijk.

  • De fysieke integriteit (zelfstandigheid, bewegingsvrijheid) van het individu wordt in grote mate aangetast indien de betrokken persoonsgegevens foutief zijn.

3.5.4.  Informatieklassen voor beschikbaarheid

Beschikbaarheid wordt klassiek uitgedrukt in een percentage. Dit cijfer geeft de gewenste beschikbaarheid die overeenkomt met de behoeften gespecifieerd in de verwerkingsovereenkomst voor de betrokken toepassing of dienst. In deze overeenkomst zal het detail worden opgenomen hoe deze beschikbaarheid wordt berekend op basis van ongeplande onbeschikbaarheden. Naar analogie met vertrouwelijkheid en integriteit maken we gebruik van de 5 impactschalen om de verschillende klassen van beschikbaarheid aan te duiden:

...

Schaal

...

Beschikbaarheid

...

De dienstverlening kan meer dan een maand onbeschikbaar zijn zonder significante gevolgen voor de organisatie of de burger.

En/of

Er is geen kritisch bedrijfsmoment waarop de dienstverlening beschikbaar moet zijn.

En/of

De onbeschikbaarheid treft weinig of geen gebruikers (bijvoorbeeld minder dan 5% van de doelgroep).

En/of

Niet-herstel van informatie heeft geen impact op de organisatie of de burger.

En/of

Performantieverlies heeft geen significante impact voor de organisatie of de burger.

...

De dienstverlening mag niet langer dan een maand onbeschikbaar zijn. Is de dienstverlening langer dan 1 maand onbeschikbaar dan heeft dit significante gevolgen voor de organisatie of de burger.

En/of

Er is geen kritisch bedrijfsmoment waarop de dienstverlening beschikbaar moet zijn.

En/of

De onbeschikbaarheid treft een minimaal aantal gebruikers (bijvoorbeeld minder dan 20% van de doelgroep).

En/of

Informatie moet minstens gedeeltelijk hersteld kunnen worden.

En/of

Maximaal 75% performantieverlies is toegestaan.

...

De dienstverlening mag incidenteel uitvallen, tot een week. Is de dienstverlening langer dan één week onbeschikbaar dan heeft dit significante gevolgen voor de organisatie of de burger.

En/of

Tijdens kritische bedrijfsmomenten mag de dienstverlening niet langer dan 24 uur onbeschikbaar zijn.

En/of

De onbeschikbaarheid treft een significant aantal gebruikers (bijvoorbeeld tot 50% van de doelgroep) of enkele prioritaire gebruikers (minder dan 10%). Elke entiteit bepaalt zelf de criteria voor een prioritaire gebruiker.

En/of

Informatie moet volledig hersteld kunnen worden tot een zekere datum.

En/of

Maximaal 50% performantieverlies is toegestaan.

...

De dienstverlening kan quasi niet uitvallen, maximaal 72 uur. Is de dienstverlening langer dan 72 uur onbeschikbaar dan heeft dit significante gevolgen voor de organisatie of de burger.

En/of

Tijdens kritische bedrijfsmomenten mag de dienstverlening niet langer dan 12 uur onbeschikbaar zijn.

En/of

De onbeschikbaarheid treft een groot aantal gebruikers (bijvoorbeeld tot 75% van de doelgroep), of meerdere prioritaire gebruikers (bijvoorbeeld tot 25%).

En/of

Informatie moet volledig hersteld kunnen worden tot een datum op korte termijn.

En/of

Maximaal 20% performantieverlies is toegestaan.

...

De dienstverlening mag enkel zeer uitzonderlijk uitvallen, tot 24 uur. Is de dienstverleningen langer dan 24 uur onbeschikbaar dan heeft dit significante gevolgen voor de organisatie of de burger.

En/of

Tijdens kritische bedrijfsmomenten mag de dienstverlening niet langer dan 2 uur onbeschikbaar zijn.

En/of

De onbeschikbaarheid treft een zeer groot aantal gebruikers (bijvoorbeeld meer dan 75% van de doelgroep) en meerdere prioritaire gebruikers (bijvoorbeeld meer dan 25%).

En/of

Informatie moet volledig hersteld kunnen worden tot het moment van onbeschikbaarheid.

En/of

Maximaal 5% performantieverlies is toegestaan.

3.5.5.  Samenvatting van de schalen voor informatieclassificatie

...

Om het gebruik in documentatie te vereenvoudigen krijgt elke schaal een unieke code onder vorm van een cijfer. Bovendien passen we een unieke kleurcode toe om de visuele herkenbaarheid te verbeteren. In de documentatie gebruiken we de terminologie informatieklassen om deze graden te groeperen.

  • Referenties naar Klasse 1, krijgen een blauwe kleur

  • Referenties naar Klasse 2, krijgen een groene kleur

  • Referenties naar Klasse 3, krijgen een oranje kleur

  • Referenties naar Klasse 4, krijgen een rode kleur

  • Referenties naar Klasse 5, krijgen een zwarte kleur

3.6.      Definitie informatieasset

We definiëren een informatieasset als volgt: “Een informatieasset is een set informatie (bijvoorbeeld een businessproces, dienst of product) die waarde heeft voor de organisatie of het individu welke gedeeld of vastgelegd kan worden in elke vorm, zoals fysiek of digitaal.”

Toelichting:

Een informatieasset is een term die wordt gebruikt om een specifieke verzameling informatie of gegevens binnen een organisatie te beschrijven. Het kan verwijzen naar zowel digitale als niet-digitale informatiebronnen, zoals documenten, databases, afbeeldingen, video's, audio-opnamen en andere soorten informatie.

Informatieassets worden beschouwd als waardevolle bezittingen van een organisatie omdat ze cruciale gegevens bevatten die nodig zijn voor het functioneren en de besluitvorming. Ze kunnen variëren in grootte en complexiteit, van individuele bestanden tot complete systemen of databases.

Het beheer en de bescherming van informatieassets is van groot belang voor organisaties, vooral vanwege de toenemende afhankelijkheid van informatie en de waarde ervan. Het omvat het vaststellen van beleid, procedures en technische maatregelen om ervoor te zorgen dat informatieassets veilig, nauwkeurig, beschikbaar en vertrouwelijk blijven.

Kortom, een informatieasset is een term die wordt gebruikt om te verwijzen naar de waardevolle verzameling informatie of gegevens binnen een organisatie die strategisch worden beheerd en beschermd.

3.7.      Samengestelde informatiebronnen

...

Andere specifieke topics die geen onderdeel uitmaken van het ICR

In hoofdstuk /wiki/spaces/ICR/pages/6375964788 worden een aantal beheersmaatregelen beschreven die geen onderdeel uitmaken van het ICR. In bovenstaande structuur staan deze maatregelen onder het kopje “Andere specifieke topics“.
Deze beheersmaatregen kunnen op L3 niveau toegepast worden.