Deze procedure beschrijft het systematisch identificeren, beoordelen en behandelen van potentiële informatieveiligheidsrisico's voor DV, om zo de veiligheid van informatie en informatiesystemen te waarborgen, en om DV in staat te stellen weloverwogen keuzes te maken over informatieveiligheidsrisico's, waardoor de DV-doelstellingen kunnen gerealiseerd worden en voldaan kan worden aan wettelijke en andere vereisten.

Deze procedure beschrijft op welke manier het DV beleid Risicobeheerwordt uitgevoerd. Het risicobeheerproces kan worden samengevat in onderliggende figuur.

Image Removed

Het risicobeheerproces kan aldus worden opgesplitst in de volgende deelprocessen:

• Analyse van de zakelijke omgeving,

• Risicobeoordeling, en

• Risicobehandeling.

Aanleiding en frequentie

Analyse van de zakelijke omgeving is het deelproces van het risicobeheer waarbij wordt bepaald welke informatieassets er bestaan en moeten worden behandeld. Informatieassets worden beheerd in een informatieasset-register. Er wordt minstens jaarlijks een herziening gemaakt van dit register. Het register wordt permanent aangepast voor projecten die nieuwe producten en diensten ontwikkelen en inrichten.

Activiteiten

Identificatie van bedrijfsprocessen

Voor een holistische aanpak, wordt eerst een analyse van de zakelijke omgeving van DV gemaakt, en wordt er bepaald welke de zakelijke processen zijn die informatieassets van DV beheren. Zowel de kernprocessen als ondersteunende processen zoals Marketing, HR etc. worden beschouwd. De ISA (“Information Security Architect” of Informatieveiligheidsarchitect) verzamelt informatie van verschillende bronnen binnen DV en stel een lijst op van kern- en ondersteunde processen voor DV. Hierbij werkt de ICA nauw samen met de de dienst Portfoliobeheer van DV en de PM (“Portfolio Manager” of Portfoliobeheerder) die werd aangewezen hiervoor, de afdelingshoofden van de afdelingen van DV, en de DV Risicomanager.

Identificatie van informatieassets

Voor elk van de kern- en ondersteunde processen van DV wordt bepaald door de ISA welke informatieassets beheerd worden in dat proces.  Hierbij kan het nodig zijn, de processen nog in verdere detail te bekijken en verder op te delen in verdere deelprocessen, zodanig dat elk van de informatieassets kan worden bepaald. De ISA werkt hiervoor nauw samen met de afdelingsverantwoordelijken van elk van de afdelingen binnen DV, en met de PO’s (“Product Owners” of producteigenaars) van de individuele producten van DV. Producten zijn technologieën die DV beheert en aanbiedt aan de agentschappen van de Vo, om overheden te ondersteunen in hun digitale transformatie.

In het identificeren van informatieassets, zal de ISA verwarring voorkomen met applicaties of systemen. Vaak zal een enkel systeem of applicatie meerdere informatieassets bevatten. Informatieassets worden beschouwd als conceptueel gescheiden van, en bestaan ​​onafhankelijk van, het systeem of de toepassing die ze bevat.​ Men kan daartoe een onderscheid maken tussen het eigenlijke (primaire) informatieasset, en de bouwstenen (of secundaire assets) waaruit het informatieasset bestaat.  Type van secundaire assets die worden beschouwd zijn:

• Hardware,

• Software,

• Service,

• Data,

• Fysieke locatie, en

• Menselijke activa.

Hardware

Hardware zijn alle fysieke apparaten die informatie kunnen bevatten zoals:

• PCs (desktops en laptops),

• Servers,

• Mainframe computers,

• Randapparatuur (printers, scanners, copy machines, etc.),

• Opslagmedia (USB-sticks, CDs, externe hard drives, back-up tapes, etc.),

• Mobiele toestellen (telefoons, tablets, etc.)

• Netwerk apparatuur (firewalls, switches, routers, hubs, access points, etc.),

• Communicatie apparatuur (PBXs, etc.).

Apparaten die ITC hardware zijn, maar geen data bevatten zijn buiten het domein van risicobeheer.

Software

Met software wordt bedoeld de gecodeerde omgeving die informatie kan bevatten, dit kunnen zijn:

• Toepassingen (ERP systemen, DMSs, CRM systemen, etc.),

• Websites,

• Mobile apps,

• Office software (word processors, spreadsheets, e-mail, etc.)

• Systeem softwares (operating systems, desktop images, etc.),

• Programming softwares (development environments, test management software, compilers, etc.),

• Drivers.

Data        

Met data wordt bedoeld de gegevens (in fysische of elektronische vorm) die worden bewaard ofwel op zogenaamde gestructureerde wijze bevat in:

• Databases (zoals financiële gegevens, HR gegevens, klantgegevens, etc.),

ofwel op zogenaamde niet-gestructureerde wijze zoals:

• Contracten en overeenkomsten (bv. met klanten, partners, leveranciers, etc.),

• E-mail en gewone post,

• Logs,

• Manuals (bv. voor training, uitvoer of onderhoud),

• Interne documenten (bv. verslagen van meetings, rapporten, plannen, etc.),

• Diverse persoonlijke documenten.

Diensten

Diensten geleverd door derden ter ondersteuning van bedrijfs- en ITC-processen, ter vervanging van interne middelen, kunnen gegevens beheren, zoals:

• Cloud diensten zoals infrastructuur, platformen en/of toepassingen hosted door derden en beschikbaar via het internet,

• Network diensten: het beheer en onderhoud van het interne bedrijfsnetwerk,

• Monitoring diensten: monitoring van cloud en netwerk diensten,

• Email en office diensten, een specifiek geval van email en office software in the cloud,

• Remote help desk, troubleshooting and technische ondersteuning door derden,

• Nutsbedrijven (elektriciteit, gas, etc.),

• Postdiensten,

• Consulting services voor business processen (IT, HR, Finance, etc.),

• Software ontwikkeling door derden,

• Training door derden,

• Hardware installatie en onderhoud door derden.

Infrastructuur

Met infrastructuur wordt bedoeld de fysieke omgeving die relevant is voor de risicobeoordeling van het asset in scope, bijvoorbeeld een site, gebouw, lokaal, server room, etc.

Menselijke activa       

Dit zijn de interne en externe medewerkers in het bedrijf, die toegang hebben tot de data voor de scope van de risicobeoordeling, zoals:

• Top management (bv. directieleden, etc.),

• Midden management (bv. coordinators, team leiders, project managers, etc.),

• Interne medewerkers,

• Externe medewerkers (bv. consultants, contractors, etc.),

• Klanten en leveranciers

• Anderen zoals externe auditors, bezoekers, etc.  

Beheer van informatieassets

Voor elk informatieasset wordt een logische en herkenbare naam gekozen.  Men moet voorkomen dat dezelfde informatie een onderdeel is van verschillende informatieassets.

De informatieassets worden door de ISA beheerd in een informatieasset-register dat als basis zal dienen voor een risicobeoordeling. Dit zelfde register wordt ook gebruikt om de Informatieklasse (IK) van elk informatieasset te beheren. Dit wordt beschreven in Proces - Informatieklassebepaling.

Voor elk informatieasset wordt de verantwoordelijke IAO (“Information Asset Owner” of informatieasset-eigenaar) binnen DV geïdentificeerd, zodat deze verder kan betrokken worden bij de risicobeoordeling. De IAO-rol valt vaak samen met de rol van PO. Het informatieasset-register wordt minstens jaarlijks en bij belangrijke wijzigingen herzien door de ISO (“Information Security Officer” ) van DV, en wordt minstens jaarlijks goedgekeurd door de CISO (“Chief Information Security Officer”) van DV.

Aanleiding en frequentie

Risicobeoordeling is het deelproces van het risicobeheer waarbij wordt bepaald hoe de risico’s voor een specifiek informatieasset moeten worden behandeld, door het aangeven van acties om het risico te mitigeren, overdragen, accepteren of verwijderen.

Een risicobeoordeling voor DV kan worden gestart:

• ad hoc, als resultaat van een incident, belangrijke wijziging en/of audit observatie, of

• vanuit een holistische benadering en identificatie van de het gehele informatieasset landschap voor DV, op basis van een analyse van de zakelijke omgeving en de oplijsting van de zakelijke processen voor DV.

Voor alle informatieassets geldt het volgende:

• Voor elk informatieasset in het informatieasset-register met een Informatieklasse (IK) hoger dan 2, wordt een risicobeoordeling uitgevoerd door de IAO.

• Projecten die nieuwe producten en diensten ontwikkelen, identificeren welke informatieassets worden toegevoegd aan het informatieasset-register. Voor deze informatieassets wordt door de IAO een IK-bepaling uitgevoerd, en indien de IK hoger is dan 2, wordt eveneens een risicobeoordeling uitgevoerd.

• Alle risicobeoordelingen worden minimaal één keer per jaar herzien.

• Bij grote functionele of technische aanpassingen wordt de risicobeoordeling herzien voor de betrokken informatieassets.

De geldigheid van de risicobeoordeling vervalt na één jaar geteld vanaf de laatste herziening. IAO’s dragen de verantwoordelijkheid om zelf zicht te houden op de risico’s van hun informatieassets en de correctheid van de informatieklasse, en actie te ondernemen wanneer nodig. De IAO kan beroep doen op een ISA op de risicobeoordeling te faciliteren en uit te voeren, maar blijft aansprakelijk.

Risicobeoordelingen kunnen ook worden opgestart door de ISA los van de jaarlijkse herziening bv. bij nieuwe of veranderende dreigingen, of bij het ontdekken van ernstige kwetsbaarheden in de beheersmaatregelen (bijv. niet gerepareerde security issues met software).

Activiteiten

Men kan een risicobeoordeling opsplitsen in de volgende deelprocessen:

• Risico-identificatie

• Risicoanalyse,

• Risico-evaluatie

Dit kan schematisch worden weergegeven op de volgende figuur.

Image Removed

Elke risicobeoordeling wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.

Risico-identificatie

Bepalen van het domein

Als eerste stap bij het uitvoeren van een risicobeoordeling wordt het juiste domein bepaald. Bij ad hoc gevraagde beoordelingen is het belangrijk dat de aanleiding om de analyse uit te voeren goed bekend is. Met de informatie uit deze stap kan de doelstelling van de risicobeoordeling worden vastgesteld en kunnen de juiste keuzes worden gemaakt met betrekking tot de bepaling van de context.

Wanneer de IAO een risicobeoordeling opstart, wordt de ISA gecontacteerd om de risicobeoordeling uit te voeren voor een gepast domein, eventueel door het groeperen van risicobeoordeling voor verschillende informatieassets.

De ISA bepaalt het gepaste domein van de risicobeoordeling, en dus welke informatieassets moeten beoordeeld worden (primaire en secundaire informatieassets).  Vervolgens wordt de informatieklasse (IK) opgezocht voor elk informatieasset in het domein van de risicobeoordeling.  De IK kan worden opgehaald uit het informatieasset-register. Indien het IK nog niet beschikbaar is, dient een IK-bepaling te gebeuren zoals beschreven in het proces Proces - Informatieklassebepaling.  De IK zal later dienen als basis voor het berekenen van de impact van de geïdentificeerde dreigingen. Dit wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.

Identificeren van dreigingen

Een risico wordt gedefinieerd als volgt: ‘De waarschijnlijkheid op het optreden van een dreiging met een gevolg op het behalen van de doelstellingen van een organisatie’.

Na het bepalen het domein, worden door de ISA alle potentiële dreigingen geïdentificeerd, vertrekkende vanuit de dreigingscataloog voor DV.  Dit is een lijst van alle mogelijke dreigingen die van toepassing kunnen zijn op alle mogelijke informatieassets van DV. Het opstellen en onderhouden van de dreigingscataloog wordt beschreven in het beleid Dreigingen en kwetsbaarheden. De dreigingscataloog is een onderdeel van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.

Vanuit de dreigingscataloog worden door de ISA de generieke dreigingen afgeleid, die vervolgens worden vertaald naar specifieke dreigingen, gebaseerd op de informatieassets in het domein van de risicobeoordeling. Dit wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.

Elk specifieke dreiging wordt door de ISA beschreven als: ‘Er bestaat een waarschijnlijkheid dat <beschrijft gebeurtenis> wordt veroorzaakt door <beschrijft oorzaak>'. Het gevolg van de dreiging op de organisatie wordt uitgedrukt door aan te duiden of de dreiging een impact heeft op de beschikbaarheid, integriteit en/of vertrouwelijkheid van de informatieassets.

Risico-analyse

Het in kaart brengen van de specifieke dreigingen voor het informatieasset, maakt het mogelijk om deze te analyseren door het inschatten van de waarschijnlijkheid dat een gebeurtenis optreedt, en de impact dat de dreiging kan hebben op de organisatie.

De analyse van de waarschijnlijkheid en de impact van elk geïdentificeerde bedreiging gebeurt aan de hand van gedefinieerde schalen (1 t/m 5).  Om de subjectiviteit van de inschatting van een dreiging te beperken is afstemming binnen de organisatie en overleg met de eigenaar van het informatieasset, noodzakelijk.

Waarschijnlijkheid

De volgende tabel wordt gehanteerd bij het bepalen van de waarschijnlijkheid dat de dreiging optreedt. Deze inschatting moet worden uitgevoerd door de IAO, maar kan worden gefaciliteerd door de ISA, en gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.

Image Removed

Impact

De impact dat een dreiging heeft op een informatieasset, wordt afgeleid van de IK van de informatieassets in het domein van de risicobeoordeling, zoals weergegeven in de volgende tabel. Deze berekening wordt door de ISA uitgevoerd en is geautomatiseerd en gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.

Image Removed

De scores voor beschikbaarheid, integriteit en vertrouwelijkheid voor de risicobeoordeling worden bepaald als het maximum van de scores voor elk van de informatieassets in het domein van de risicobeoordeling. De score voor impact van de specifieke dreiging wordt dan berekend als het gemiddelde van de scores voor beschikbaarheid, integriteit en vertrouwelijkheid indien het informatieasset geen persoonsgegevens bevat.  Indien het domein van de risicobeoordeling wél persoonsgegevens bevat, wordt de score bepaald door het maximum te nemen van de score voor vertrouwelijkheid, en het gemiddelde van de score voor beschikbaarheid en integriteit.

Indien nog geen IK werd bepaald, dan moet dit gebeuren vooraleer de risicobeoordeling kan worden verdergezet.

Risico Prioriteit Nummer (RPN)

Met behulp van het RPN kunnen dreigingen gerangschikt worden van groot naar klein. Het RPN wordt bepaald door waarschijnlijkheid en impact van een dreiging in bovenstaande schalen te vermenigvuldigen. Dus, RPN = waarschijnlijkheid x impact.  Hierdoor krijgt men een inschatting van het inherent risico van een bedreiging, d.w.z. zonder rekening te houden met de beheersmaatregelen die van toepassing zijn en de effectiviteit hiervan.  Deze berekening wordt door de ISA uitgevoerd en kan worden geautomatiseerd via het gebruik van een risicobeoordelingssjabloon.

Het inherent risico wordt afgeleid uit het RPN, en aangeven aan de hand van een gedefinieerde schaal (1 t/m 5) in de volgende tabel. Deze berekening wordt door de ISA uitgevoerd en is geautomatiseerd en gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.

Image Removed

Dit kan ook worden afgebeeld in de volgende tabel.

Image Removed

Risico-evaluatie

Identificatie van implementatiemaatregelen

Uiteindelijk gaat risicobeheer over het effectief beheersen van dreigingen. Als organisatie moet je kunnen aantonen hoe je de belangrijkste dreigingen beheerst. In deze stap van de risicobeoordeling wordt gekeken welke implementatiemaatregelen er zijn en welke effectiviteit deze hebben.

Het identificeren van implementatiemaatregelen en hun effectiviteit wordt per specifieke dreiging besproken door de ISA met de IAO.  Hiertoe kan als hulp worden gekeken naar:

• Het type van de implementatiemaatregelen:

  • Organisatorisch,

  • Mensgericht,

  • Fysiek, of

  • Technologisch; 

• De functie van de implementatiemaatregelen:

  • Preventie,

  • Detectie, of

  • Correctie;

• Het type van de implementatiemaatregelen:

  • Identificeren,

  • Beschermen,

  • Detecteren,

  • Reageren, of

  • Herstellen.

Ook kan worden gekeken naar een generieke lijst van beheersmaatregelen zoals bijvoorbeeld de ISO 27001 cataloog van beheersmaatregelen.

Voor elk van de implementatiemaatregelen wordt de effectiviteit bepaald door de IAO, aan de hand van een gedefinieerde schaal (1 t/m 5) zoals aangegeven in de volgende tabel. De inschatting van de effectiviteit moet worden uitgevoerd door de IAO, maar kan worden gefaciliteerd door de ISA. Dit wordt gedocumenteerd door middel van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.

Image Removed

Bepalen van kwetsbaarheden en het restrisico

Het aanwezig zijn van een specifieke dreiging die kan optreden met een bepaalde waarschijnlijkheid, en de effectiviteit van de beheersmaatregelen, resulteert al dan niet in het activeren van een kwetsbaarheid voor de organisatie en het informatieasset in het domein van de risicobeoordeling.  Hierbij moeten ook andere reeds bekende kwetsbaarheden in aanmerking genomen worden (bv. verouderde infrastructuur, kwetsbaarheden die voortkomen uit PEN-testen, etc.).

Een kwetsbaarheid wordt geassocieerd met een restrisico, nl. het risico dat overblijft nadat het effect van de beheersmaatregelen geëvalueerd werd en rekening gehouden werd met bekende kwetsbaarheden.  Dit is het risico dat moet worden beheerd op basis van het risico-appetijt van de directie. 

Het restrisico wordt beschreven aan de hand van een gedefinieerde schaal (1 t/m 5) en berekend door de ISA zoals aangegeven in de volgende tabel. Deze berekening wordt geautomatiseerd en gedocumenteerd via het gebruik van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.

Image Removed

Het restrisico en de behandelingsprioriteit wordt uitgedrukt als:

Image Removed

Risicostrategie

Een risico dat in het groene of gele gebied zit vormt geen direct gevaar voor organisatie en hoeft niet noodzakelijk verder behandeld te worden. De behandeling van dit soort restrisico’s krijgt een lagere prioriteit. Een risico dat een score heeft die in het oranje gebied zit, vraagt om meer aandacht. Een risico in het rode gebied, vereist directe aandacht om te voorkomen dat de kwetsbaarheid wordt uitgebuit. 

Voor risico’s met score 4 en 5 (oranje en rood), moeten acties worden gedefinieerd die één van de 4 mogelijke risicostrategieën implementeren, met name:

• Mitigeren: het nemen van acties om het restrisico te verhinderen, te verminderen, af te zwakken of te matigen,

• Overdragen: het overdragen van het risico op een andere organisatie, bv. door het inschakelen van een ICT-dienstverlener en door het afsluiten van diverse raamcontracten,

• Vermijden: het risico elimineren van een risico door het stopzetten van de activiteiten die verband houden met het risico,

• Accepteren: een aantal specifieke risico’s waarbij de beheersmaatregelen veel meer inzet en tijd vergen dan het effect van het risico worden geaccepteerd.

De IAO stelt een risicostrategie voor die wordt gedocumenteerd via het gebruik van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer. De IAO moet ervoor zorgen dat het risico verder wordt behandeld.

Risicoacceptatie is een bewuste beslissing om een geïdentificeerd en geëvalueerd risico te accepteren zonder aanvullende acties te nemen om het risico te mitigeren. Deze benadering wordt meestal gekozen wanneer de kosten voor het verminderen van het risico disproportioneel zouden zijn in vergelijking met de potentiële schade, of wanneer het risico binnen de vastgestelde tolerantiegrenzen van de organisatie valt. Het is een strategische keuze gedocumenteerd en goedgekeurd op een passend niveau binnen de organisatie. In geval van een risicoscore 4 en 5, betekent dit dat de directie van DV formeel akkoord gaat met het accepteren van het risico.

Risicoacceptatie is geen eenmalige actie, maar vereist continue monitoring om te verifiëren dat het risico binnen de aanvaardbare grenzen blijft en dat de context waarin het risico is geaccepteerd, niet significant is veranderd. De duur van risicoacceptatie is maximaal voor één jaar vastgesteld. Daarna wordt een herziening uitgevoerd.

Risicobehandeling is het deelproces van specifiëren, uitvoeren en opvolgen van acties om bijkomende maatregelen te implementeren om risico's te beheersen. Dit kan inhouden dat risico’s worden gemitigeerd, overgedragen, vermeden of geaccepteerd. Alle resultaten van de risicobeoordeling worden toegevoegd aan een risicoregister.

Aanleiding en frequentie

De risicobehandeling wordt gewoonlijk geïnitieerd op basis van de resultaten van de risicobeoordeling. Echter, wijzigingen in het risico-appetijt, de invoering van nieuwe maatregelen of andere relevante factoren kunnen aanpassingen in het behandelplan vereisen. Voortdurende monitoring van de uitvoering van dit plan is daarom van cruciaal belang.

Voor alle informatieassets geldt het volgende:

• Projecten die nieuwe producten en diensten ontwikkelen en inrichten hebben een behandelplan gebaseerd op de uitkomst van hun risicobeoordeling.

• Behandelplannen worden herzien bij veranderingen zoals de status van geplande mitigatie en verandering (van effectiviteit) van implementatiemaatregelen.

• Een risicobeoordeling wordt opnieuw uitgevoerd bij significante functionele of technische veranderingen en/of nieuwe en veranderende dreigingen.

Activiteiten

Opstellen van een behandelplan

Voor alle restrisco’s met een score 4 en 5 wordt door de IAO een risicobehandeling voorgesteld op basis van de vier mogelijke opties: mitigatie, vermijding, overdracht en/of acceptatie. Elke risicobehandeling wordt vertaald in duidelijk acties met aanduiding van de verantwoordelijke en implementatiedatum. Het risicobehandelplan wordt gecommuniceerd aan de ISA en herzien door de ISO via het gebruik van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.

Goedkeuring en rapportering

Het risicobehandelplan wordt gedeeld met alle betrokkenen en goedgekeurd door de CISO en het hoofd van elke betrokken afdeling via het gebruik van het DV risicobeoordelingssjabloon, zie Werkinstructies en sjablonen risicobeheer.

Alle resultaten van de risicobeoordeling worden door de ISA toegevoegd aan een informatieveiligheid-risicoregister, zie Werkinstructies en sjablonen risicobeheer.

Het informatieveiligheid-risicoregister wordt maandelijks gerapporteerd door de ISA naar de DV risicomanager voor opname in het centrale DV risicoregister.

het informatieveiligheid-risicoregister wordt eveneens gerapporteerd en goedgekeurd door het DV directiecomité op kwartaalbasis via het informatieveiligheid-stuurorgaan.

De IAO rapporteert op kwartaalbasis de status van de acties in het behandelplan aan de ISA ter opvolging in het informatieveiligheid-risicoregister.

Zwembaandiagram

Image Removed

Analyse van de zakelijke omgeving

Minstens op jaarbasis, initieert de informatiebeveiligingsfunctionaris (Information Security Officer (ISO)) van Team Informatieveiligheid (TIV) een analyse van de zakelijke omgeving van Digitaal Vlaanderen (DV), om op die manier de informatieassets van DV accuraat op te lijsten in een zogenaamd asset-dashboard. Een informatieasset is een bedrijfsmiddel dat informatie bevat (bijvoorbeeld een toepassing of een product) die waarde heeft voor de organisatie. Informatieassets worden beschouwd als waardevolle bezittingen van een organisatie omdat ze cruciale gegevens bevatten die nodig zijn voor het functioneren en de besluitvorming. Ze kunnen variëren in grootte en complexiteit, van individuele toepassingen op een werkstation tot bedrijfswijde toepassingen gebruikt in meerdere afdelingen. Ter verduidelijking van het onderwerp informatieassets, heeft TIV een handreiking ontwikkeld: Handreiking informatieassets.

Informatieassets zijn de units waarop het verdere verloop van risicobeheer steunt.  Het laat de organisatie toe om in eerste instantie de waarde van de informatie te bepalen en in tweede instantie een analyse te maken van de risico’s die mogelijk deze waarde bedreigen zodat deze op de juiste manier kunnen worden behandeld, in lijn met het risico-appetijt van de directie.

Voor DV onderscheiden we de volgende types van informatieassets:

• Technische assets, dit zijn alle hard- en software assets, verder onderverdeeld in:

  • Producten: systemen die worden ontwikkeld door DV voor gebruik door burgers en de entiteiten van de Vlaamse overheid, bijv. MAGDA of Geopunt;

  • Interne toepassingen: systemen in gebruik binnen DV ter ondersteuning van interne zakelijke processen zoals HR en Finance maar ook ICT- en ontwikkel-processen, bijv.  ServiceNow, Jira of Dynamics;

  • Platformen: hard- of software systemen die producten en interne toepassingen ondersteunen, ook soms genaamd infrastructuurassets of horizontale assets, zoals bijv. SharePoint, Confluence, of Office365;

• Organisatie-assets die toelaten de informatie te beschrijven die wordt beheerd op afdelingsniveau of op het niveau van de entiteit Digitaal Vlaanderen en hiervoor de risico’s te beoordelen.

• Fysieke assets die toelaten de informatie en risico’s te beschrijven op het niveau van een gebouw, datacenter, of andere ICT infrastructuur zoals netwerken.

Image Added

Om alle informatieassets te identificeren, verzamelt TIV informatie van de verschillende bronnen binnen DV. Alle assets worden opgenomen in het asset-dashboard voor DV. Dit asset-dashboard wordt gebruikt door TIV om per asset de stamgegevens te bewaren om de Key Performance Indicators (KPI’s) te berekenen voor de status van het risicobeheersproces, zodat deze kunnen gevalideerd worden door de relevante stakeholders.

Voor de technische assets, noteert de ISO in het asset-dashboard:

• de informatieasset-naam,

• een korte beschrijving van het informatieasset,

• het type informatieasset: product, toepassing of platform,

• de afdeling die eigenaar is van het informatieasset, en de naam van de contactpersoon voor de afdeling (Single Point Of Contact (SPOC)),

• de naam van de asseteigenaar (Asset Owner (AO)), en eventueel een bijkomende contactpersoon, en

• de status van het informatieasset: nieuw, in ontwikkeling, in gebruik of buiten gebruik.

De ISO kan starten met de lijst van afdelingen van DV (zowel afdelingen die kernprocessen van DV ondersteunen als afdelingen die de ondersteunende processen van DV ondersteunen) om op die manier de informatieassets per afdeling en/of proces te identificeren in nauw overleg met de SPOC van elke afdeling.

Producten zijn technologieën die DV beheert en aanbiedt aan de agentschappen van de Vlaamse overheid om deze te ondersteunen in hun digitale transformatie. Producten worden daarom beschouwd als de voornaamste informatieassets van DV. Voor producten wordt het asset gerapporteerd door de SPOC van de afdeling die het product ontwikkelt en beheert, en genoteerd door de ISO in het asset-dashboard als type “product”. Niet elke afdeling van DV ontwikkelt producten, bijvoorbeeld Marketing, Communicatie, Finance, of HR zijn afdelingen die geen producten ontwikkelen.

Bijkomend moet in elke afdeling nagegaan worden welke systemen de interne verwerking en processen ondersteunen en gestructureerde data bevatten. Gestructureerde data voldoen aan een gedefinieerd datamodel en worden bewaard in een database. Voorbeelden van systemen met gestructureerde data zijn bijvoorbeeld Enterprise Resource Planning (ERP) systemen of Customer Relationship Management (CRM) systemen, een systeem dat een bedrijfsproces ondersteunt zoals een boekhoudingssysteem, een loon administratie systeem, een tijdsregistratie systeem, etc. Ook systemen die productontwikkeling ondersteunen zoals een versiebeheersysteem of broncode-managementsystemen zijn toepassingen die moeten geregistreerd worden. Voor deze assets wordt het asset gerapporteerd door de SPOC van de afdeling die het systeem gebruikt en genoteerd in het asset-dashboard met als type “toepassing”. Mogelijk gebruiken meerdere afdelingen dezelfde toepassing. In dat geval rapporteren beide afdelingen het systeem als toepassing.

Mogelijk wordt een toepassing door een andere afdeling dan de gebruikersafdeling opgezet, beheerd en/of gecustomiseerd (bijv. ICT). In dat geval rapporteert de SPOC ICT dit asset eveneens en wordt het door de ISO in het asset-dashboard genoteerd als “platform”.

Ongestructureerde data zijn bestanden die typisch niet in een database worden bewaard zoals teksten, spreadsheets, presentaties, e-mails etc. Ongestructureerde data wordt veelvuldig gebruikt in interne processen van elke afdeling van DV. Deze data worden echter niet als informatieasset gerapporteerd door de afdeling die de informatie gebruikt, echter wel het platform dat deze informatie bevat, bijv. SharePoint. Ook in dat geval rapporteert de SPOC van de afdeling die het platform opzet, beheert en/of customiseert (bijv. ICT) dit asset en wordt het door de ISO in het asset-dashboard genoteerd als “platform”.

De niet-technische assets (organisatie-assets en fysieke assets) worden door de ISO eveneens in het asset-dashboard genoteerd, met de volgende info:

• de informatieasset-naam,

• een korte beschrijving van het informatieasset,

• het type informatieasset: organisatie of fysiek,

• de afdeling die eigenaar is van het informatieasset is by default TIV met als SPOC de CISO,

• de AO is een ISO van TIV,

• de status van het informatieasset: in gebruik.

Herziening van het asset-dashboard

Op jaarbasis, legt de ISO het asset-dashboard voor aan elke SPOC ter herziening. Elke SPOC herziet het asset-dashboard voor volledigheid en bevestigt de AO van de informatieassets onder zijn/haar verantwoordelijkheid.

Indien in een afdeling een nieuw informatieasset of een belangrijke wijziging aan een bestaand informatieasset wordt geïmplementeerd, dient de SPOC de ISO te informeren met vermelding van de AO, zodat deze het asset-dashboard kan aanpassen. Er moet dus niet gewacht worden op de periodieke herziening om het asset-dashboard actueel te houden.

Uitvoering van de Informatieklasse bevraging

Een informatieklasse bevraging (IKB) heeft als doel om door middel van een vragenlijst te komen tot een inschatting van de informatieklasse (IK) voor beschikbaarheid, integriteit en vertrouwelijkheid van informatieassets, zoals beschreven in het informatieclassificatieraamwerk (ICR) van de Vlaamse overheid. TIV voorziet voor de IKB een IKB-sjabloon dat door de ISO ter beschikking wordt gesteld aan de AO die de IKB moet uitvoeren. De ISO stelt ook een handleiding ter beschikking voor het gebruik van dit sjabloon.

Een IKB moet worden geïnitieerd:

• bij de implementatie van een nieuwe asset of bij een belangrijke wijziging aan een bestaande asset, door de AO, of

• voor bestaande assets door de ISO bij de herziening van het asset-dashboard, waarbij de AO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar, of

• voor bestaande assets door het afdelingshoofd of SPOC bij de herziening van het asset-dashboard en KPI’s, waarbij de AO wordt gevraagd een IKB te herzien wanneer de huidige IKB ouder is dan 1 jaar.

De ISO zal een meeting inplannen met de AO om de IKB bevraging te overlopen.

Na de meeting noteert de ISO de IK voor zowel beschikbaarheid, integriteit en vertrouwelijkheid in het IKB-sjabloon en noteert daar eveneens of het informatieasset persoonsgegevens bevat. De ISO laat dit valideren door het Hoofd Informatiebeveiliging (Chief Information Security Officer (CISO)), al dan niet via een gedelegeerd persoon binnen TIV, en indien nodig wordt de IK herbepaald en opnieuw een meeting ingepland hiervoor met de AO.

Indien er persoonsgegevens worden verwerkt, vraagt de ISO eveneens aan de AO om een pre data protection impact assessment (pre-DPIA) uit te voeren, dewelke eveneens wordt gedocumenteerd door middel van een sjabloon dat wordt ter beschikking gesteld door de ISO. De pre-DPIA wordt gevalideerd door de Functionaris Gegevensbescherming (“Data Protection Officer” (DPO)). Indien nodig wordt dan door de ISO ook een data protection impact assessment (DPIA) opgestart met de AO op aangeven van de DPO.

De ISO past het asset-dashboard aan met de informatie ingevuld in het IKB-sjabloon met de volgende velden:

• Beschikbaarheid: de IK voor de dimensie beschikbaarheid, aangegeven door een score van 1 tot 5,

• Integriteit: de IK voor de dimensie integriteit, aangegeven door een score van 1 tot 5,

• Vertrouwelijkheid: de IK voor de dimensie vertrouwelijkheid, aangegeven door een score van 1 tot 5,

• Persoonsgegevens: ja of nee,

• Datum van uitvoering van de IKB,

• Naam van de persoon die de IKB uitvoerde,

• Review datum IKB: uitvoeringsdatum + 1 jaar,

• Status van de IKB: aangevraagd, gepland, bezig, afgewerkt, of on hold,

• Status van de pre-DPIA: niet van toepassing, aangevraagd, gepland, bezig, afgewerkt, of on hold,

• Status van de DPIA: niet van toepassing, aangevraagd, gepland, bezig, afgewerkt, of on hold.

Voor assets van het type “product” wordt de IKB uitgevoerd door de AO van de afdeling die het product ontwikkelt en beheert.

Voor assets van het type “toepassing” wordt de IKB uitgevoerd door een AO van de afdeling die het systeem gebruikt en er proces-data in verwerkt.

Indien meerdere afdelingen dezelfde toepassing gebruiken, rapporteren beide afdelingen het systeem als toepassing en voert elke afdeling een IKB uit vermits er mogelijkerwijs andere data in wordt verwerkt.

Voor assets van het type “platform” wordt geen IKB uitgevoerd en zijn er 2 mogelijkheden.

In het geval het platform een toepassing met gestructureerde data ondersteunt, erft het platform asset de IKB van de toepassingen die het ondersteunt. Indien er meerdere IKB’s werder ingevuld in het geval het een platform betreft voor een toepassing die meerdere afdelingen gebruiken, wordt het maximum per IK genomen.

In het geval een platform echter enkel ongestructureerde data ondersteunt, wordt aan het platform asset de volgende IK's toegewezen:

• Beschikbaarheid: 4,

• Integriteit: 4,

• Vertrouwelijkheid: 4,

• Persoonsgegevens: ja,

om aan te geven dat deze platformen zo beheerd moeten worden dat ze informatie van deze informatieklasse kunnen bevatten. In bepaalde gevallen kan de IK van platformen worden verlaagd of verhoogd indien dit door de ISO op die manier wordt ingeschat samen met de AO (bijvoorbeeld Beschikbaarheid 3 in plaats van 4), na validatie van de CISO.

Ook aan de niet-technische assets in het asset-dashboard wordt bij default de scores 4 - 4 - 4 - ja toegekend.

Indien één van de IK scores hoger is dan 2, start de ISO vervolgens het proces toetsing van maatregelen met de AO, zie https://vlaamseoverheid.atlassian.net/wiki/spaces/ISMS/pages/6503205176/Proces+-+Identificatie+van+maatregelen.

Rapportering

Op maandelijkse basis berekent de ISO de KPI’s voor het IKB proces, zie KPI's informatieklassebepaling.

De ISO stuurt maandelijks de berekende KPI’s samen naar de CISO ter herziening.

De ISO stuurt maandelijks de berekende KPI’s samen met het asset-dashboard naar elke SPOC. Op basis hiervan kan deze verantwoordelijke een AO aanspreken indien de IKB ontbreekt of overtijd is.

Op kwartaalbasis worden de berekende KPI’s samen met het asset-dashboard door de CISO, de DPO, de DV risicomanager en het DV directiecomité gevalideerd.