| Note |
|---|
Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt: |
5.5.2.1. Minimale maatregelen
Klasse onafhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid
IC klasse | Minimale maatregelen |
|---|
 Image Added
| Inrichten, documenteren, valideren en regelmatig reviewen van een proces voor beheer van risico’s: Analyse van de zakelijke omgeving; Risico identificatie met alle stakeholders; Risicoanalyse met alle stakeholders; Risico evaluatie waarbij minimaal het huidig risiconiveau, het gewenste risiconiveau en het restrisico bepaald wordt; Risicostrategie bepalen; Risicobehandeling volgens de gekozen strategie met rapportering; Communicatie en overle. Communicatie en overleg met alle stakeholders;
|
Klasse afhankelijke maatregelen voor beschikbaarheid, integriteit, vertrouwelijkheid
IC klasse | Minimale maatregelen |
|---|
| PAS TOE |
 Image Removed Image Removed Image Removed Image Removed Image Removed Image Removed Image Removed Image Removed Image Added Image Added Image Added Image AddedImage Added Image AddedImage Added Image Added | Klasse 1, Klasse 2, Klasse 3 en Klasse 4 kennen dezelfde maatregelen: Analyse van de zakelijke omgeving; Risico identificatie met alle stakeholders inclusief CISO. Hiervoor dienen minstens volgende categorieën beschouwd te worden (deze lijst is niet-uitputtend): Hard- en software (inclusief diensten); Data (inclusief datacenters); De organisatie (inclusief gebouwen en de menselijke factor); Omgevingsfactoren (inclusief de volledige supply chain);
Risicoanalyse met alle stakeholders inclusief CISO; Risico evaluatie waarbij minimaal het huidig risiconiveau, het gewenste risiconiveau en het restrisico bepaald wordt; Risicostrategie bepalen: risico's worden gemitigeerd, geaccepteerd, vermeden of overgedragen; Risico behandelen volgens gekozen risicostrategie met rapportering aan het topmanagement en aan CISO; Rekening houdend met prioriteit die uit de risicoanalyse is gekomen Formele aanvaarding van het restrisico door topmanagement; Beoordelen risicostrategie met rapportering aan topmanagement en aan CISO.
Communicatie en overleg met alle stakeholders;
|
| PAS TOE OF LEG UIT |
  Image Removed Image Added | Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 / Klasse 4 + |
...
IC klasse | Minimale maatregelen |
|---|
| PAS TOE |
 Image Removed Image Removed Image Added Image Added  | Klasse 1, Klasse 2, Klasse 3 en Klasse 4 kennen dezelfde maatregelen: |
| PAS TOE OF LEG UIT |
 | Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 / Klasse 4 + Risicostrategie bepalen: mitigeren, accepteren of vermijden (overdragen is niet toegestaan voor klasse 5) Beschikbaarheid proces beheer van risico’s (24ux7dagen);
|
5.5.2.2. Minimale specifieke (GDPR) maatregelen
De minimale algemene maatregelen voor risicobeheer moeten toegepast worden: per klasse zijn de overeenkomende maatregelen van toepassing (zie 5.5.2.1. Minimale maatregelen).
Vertrouwelijkheid en integriteit
IC klasse | Minimale maatregelen |
|---|
| Image RemovedImage Removed | Er zijn geen specifieke GDPR maatregelen voor Klasse 1PAS TOE |
  | GDPR specifieke maatregelen voor Klasse 2: Geen maatregelen maar ter herinnering: jaarlijks moet een revaluatie uitgevoerd worden van de informatieklasse en waar nodig bijgestuurd. |
   | Klasse 3 en Klasse 4 kennen dezelfde maatregelen: Alle maatregelen van Klasse 2 + Risico identificatie met alle stakeholders inclusief CISO en DPO; Risicoanalyse met alle stakeholders inclusief CISO en DPO; Risicobehandeling volgens gekozen risicostrategie met rapportering aan het topmanagement en aan CISO en DPO; Beoordelen risicostrategie met rapportering aan topmanagement en aan CISO en DPO.
|
 Image RemovedImage Removed Image AddedImage Added | Er zijn geen specifieke GDPR maatregelen voor Klasse 5. |
Beschikbaarheid
Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.
5.5.2.3. Minimale specifieke (
...
NIS2) maatregelen
er zijn geen specifieke maatregelen voor NIS2 die al niet in de algemene minimale maatregelen geïntegreerd zijnNIS2 is een Europese richtlijn bedoeld om de cyberbeveiliging en weerbaarheid van kritieke diensten in EU-lidstaten te verbeteren.
Alle minimale algemene maatregelen worden verplicht toegepast (geen ‘leg uit’).
5.5.2.4. Minimale specifieke (KSZ) maatregelen
Volgens de Minimale Normen van de Kruispuntbank Sociale Zekerheid moeten volgende maatregelen in het kader van risicobeheer toegepast worden:
Beschikbaarheid, Integriteit en Vertrouwelijkheid
IC klasse | Minimale maatregelen |
|---|
          
| Klasse 1 t/m Klasse 5 kennen dezelfde maatregelen: De organisatie moet bij elk proces en bij elk project een risico-beoordeling rond informatieveiligheid en privacy uitvoeren, valideren, communiceren en onderhouden (Ref. KSZ 5.2.2 a). Alle risico-beoordelingen met een hoog residueel risico communiceren naar de directie voor bespreking en beslissing : behandelen of aanvaarden (Ref. KSZ 5.2.2 b). De richtlijn rond risico-beoordeling toepassen zoals vermeld in bijlage C van de beleidslijn ‘Risico-beoordeling’ (Ref. KSZ 5.2.2 c): In de regel beslist de verwerkingsverantwoordelijke vrij over de procedure en methodologie die hij wenst te hanteren bij het inschatten en beheren van risico’s, op voorwaarde dat deze beantwoordt aan een aantal minimumkenmerken van betrouwbaarheid en objectiviteit. Zo moet het risicobeheer volgende elementen bevatten: Methodologisch onderbouwd, gestructureerd, op maat, begrijpelijk, voldoende genuanceerd. Met voldoende communicatie, consultatie, beheer en nazicht.
De controlemaatregelen afstemmen op de risico’s, waarbij rekening dient te worden gehouden met technische mogelijkheden en de kosten van de te nemen maatregelen (Ref. 5.5.1 f). Een risico-beoordeling uitvoeren om de gepaste methode te bepalen voor het wissen van een informatiedrager (Ref. KSZ. 5.8.3 c). Overeenkomsten met derde partijen alle vereisten omvatten om risico’s van informatieveiligheid en privacy te behandelen die geassocieerd zijn met ICT diensten (Ref. KSZ 5.12.1 d).
|
