Versions Compared

Version Old Version 1 New Version Current
Changes made by

Kenzo Vertenten (VO)

Kristel Van Aken

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

...

Note

Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:

  • Nieuw toegevoegde tekst wordt overal in het rood weergegeven

4.6.2.1. Minimale algemene maatregelen

Het beheren van problemen omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de getroffen informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn (zie ook hoofdstuk: ‘De bouwstenen van probleem beheer’):

  • Identificatie en registratie van het probleem;

  • Classificatie;

  • Prioriteit toekennen;

  • Mensen en middelen alloceren;

  • Onderzoek en diagnose;

  • Gekende fout documenteren (KED);

  • Actie ondernemen;

  • Probleem afsluiten.

De minimale beschikbaarheid van het proces 'beheer van problemen' zelf is eveneens afhankelijk van het type en klasse van de getroffen informatie. We onderscheiden beschikbaarheid tijdens kantooruren (10ux5dagen) en permanente beschikbaarheid (24ux7dagen).

...

Klasse-onafhankelijke maatregelen voor beschikbaarheid, integriteit en vertrouwelijkheid

IC klasse

 Minimale maatregelen 

Image RemovedImage Removed

Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

Enkel P1 incidenten moeten verplicht doorgegeven worden naar probleembeheer;

PAS TOE

image-20241202-132811.pngImage Added

Inrichten van een proces voor beheer van problemen:

  • Registratie van het probleem

in een logboek

  • vanuit het proces incidentbeheer;

  • Classificatie van het probleem – dezelfde classificatie als voor incidenten wordt toegepast;

  • Mensen en middelen alloceren;

  • Onderzoek en diagnose uitvoeren;

  • Gekende fout documenteren (KED)

voor P1 problemen

  • ;

  • Actie ondernemen:

    • Geplande wijziging: deze wordt verder opgenomen door wijzigingsbeheer;

    • Niet-geplande wijziging: deze wordt verder opgenomen door release en deployment beheer;

    • Indien beslist wordt om geen actie te ondernemen en indien er een rest risico aanwezig is, moet dit rest risico formeel geaccepteerd worden.

  • Probleem afsluiten

Image Removed

Alle maatregelen van Klasse 1 / Klasse 2 +

  • Incidenten vanaf P2 moeten verplicht doorgegeven worden naar probleembeheer;

  • Registratie van het probleem in een centraal logboek onder beheer van een probleembeheerder;

  • Gekende fout documenteren (KED) voor problemen vanaf P2;

Image Removed

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

  • Alle incidenten moeten verplicht doorgegeven worden naar probleembeheer;

  • Alle gekende fouten documenteren (KED).

Image Removed

Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

  • Er moet steeds actie ondernomen worden door middel van een geplande (via wijzigingsbeheer) of niet-geplande (via release en deployment beheer) wijziging

Integriteit

Klasse-afhankelijke maatregelen

Vertrouwelijkheid en integriteit

IC klasse

 Minimale maatregelen 

Image RemovedImage Removed

PAS TOE

Image Added

Image Added

Klasse 1 en Klasse 2

kennen

 kennen dezelfde maatregelen:

  • Enkel P1 incidenten moeten verplicht doorgegeven worden naar probleembeheer

;Registratie van het probleem in een logboek

  • ;

  • Classificatie van het probleem – dezelfde classificatie als voor incidenten wordt toegepast;

  • Mensen en middelen alloceren;

  • Onderzoek en diagnose uitvoeren;

    • Gekende fout documenteren (KED) voor P1 problemen

    ;

    Actie ondernemen:

  • Geplande wijziging: deze wordt verder opgenomen door wijzigingsbeheer;

  • Niet-geplande wijziging: deze wordt verder opgenomen door release en deployment beheer;

    • Indien beslist wordt om geen actie te ondernemen en indien er een rest risico aanwezig is, moet dit rest risico formeel geaccepteerd worden

    • .

    Probleem afsluiten.

    •  

    Image Removed
    Image AddedImage Added

    Alle maatregelen van Klasse 1 / Klasse 2 +

    • Incidenten vanaf P2 moeten verplicht doorgegeven worden naar probleembeheer;

    • Opzetten rol probleembeheerder;

    • Registratie van het probleem in een centraal logboek onder beheer van een probleembeheerder;

    • Gekende fout documenteren (KED) voor problemen vanaf P2

    ;Image Removed

    • .

    PAS TOE OF LEG UIT

    Image AddedImage Added

    Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +

    • Alle incidenten moeten verplicht doorgegeven worden naar probleembeheer;

    • Alle gekende fouten documenteren (KED).

    Image Removed
    Image AddedImage Added

    Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +

    • Er moet steeds actie ondernomen worden door middel van een geplande (via wijzigingsbeheer) of niet-geplande (via release en deployment beheer) wijziging

    Beschikbaarheid

    IC klasse

     Minimale maatregelen 

    PAS TOE

    Klasse 1 en Klasse 2 kennen dezelfde maatregelen:

    • Beschikbaarheid van het proces probleembeheer is minimaal kantooruren (5d x 10u) 

    Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

    Alle maatregelen van Klasse 1/Klasse 2 +

    • Beschikbaarheid van het proces probleembeheer is 24u x 7d.

    4.6.2.2. Minimale specifieke (GDPR) maatregelen

    Vertrouwelijkheid en integriteit

    IC klasse

     Minimale maatregelen 

    		Image Removed

    PAS TOE

    Image Removed

    Klasse 1,Klasse 2 en Klasse 3 kennen dezelfde maatregelen:

    • Alle incidenten moeten verplicht doorgegeven worden naar probleembeheer;

    • Alle gekende fouten documenteren (KED).

    PAS TOE OF LEG UIT

    Klasse 4 en Klasse 5 kennen dezelfde maatregelen:

    Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 + Er moet steeds actie ondernomen worden door middel van een geplande (via wijzigingsbeheer) of niet-geplande (via release en deployment beheer) wijziging.

    Beschikbaarheid

    Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.

    4.6.2.3. Minimale specifieke (

    ...

    NIS2) maatregelen

    In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII-maatregelenNIS2 is een Europese richtlijn  bedoeld om de cyberbeveiliging en weerbaarheid van kritieke diensten in EU-lidstaten te verbeteren.

     Alle minimale algemene maatregelen worden verplicht toegepast (geen ‘leg uit’).

    4.6.2.4. Minimale specifieke (KSZ) maatregelen

    Er zijn geen KSZ specifieke maatregelen.