| Note |
|---|
Om review makkelijker te maken werden de wijzigingen tegenover ICRv2 als volgt in de tekst duidelijk gemaakt:
|
4.6.2.1. Minimale algemene maatregelen
Het beheren van problemen omvat een aantal activiteiten die, afhankelijk van de klasse waartoe de getroffen informatie behoort, al dan niet verplicht uitgevoerd moeten worden. Deze activiteiten zijn (zie ook hoofdstuk: ‘De bouwstenen van probleem beheer’):
Identificatie en registratie van het probleem;
Classificatie;
Prioriteit toekennen;
Mensen en middelen alloceren;
Onderzoek en diagnose;
Gekende fout documenteren (KED);
Actie ondernemen;
Probleem afsluiten.
De minimale beschikbaarheid van het proces 'beheer van problemen' zelf is eveneens afhankelijk van het type en klasse van de getroffen informatie. We onderscheiden beschikbaarheid tijdens kantooruren (10ux5dagen) en permanente beschikbaarheid (24ux7dagen).
...
Klasse-onafhankelijke maatregelen voor beschikbaarheid, integriteit en vertrouwelijkheid
Klasse 1 en Klasse 2 kennen dezelfde maatregelen:
Enkel P1 incidenten moeten verplicht doorgegeven worden naar probleembeheer;
IC klasse | Minimale maatregelen |
|---|
PAS TOE | |
 | Inrichten van een proces voor beheer van problemen:
|
|
Alle maatregelen van Klasse 1 / Klasse 2 +
Incidenten vanaf P2 moeten verplicht doorgegeven worden naar probleembeheer;
Registratie van het probleem in een centraal logboek onder beheer van een probleembeheerder;
Gekende fout documenteren (KED) voor problemen vanaf P2;
Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +
Alle incidenten moeten verplicht doorgegeven worden naar probleembeheer;
Alle gekende fouten documenteren (KED).
Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +
Er moet steeds actie ondernomen worden door middel van een geplande (via wijzigingsbeheer) of niet-geplande (via release en deployment beheer) wijziging
Integriteit
Klasse-afhankelijke maatregelen
Vertrouwelijkheid en integriteit
IC klasse | Minimale maatregelen |
|---|
PAS TOE | |
| Klasse 1 en Klasse 2 |
kennen dezelfde maatregelen:
|
Registratie van het probleem in een logboek;
Classificatie van het probleem – dezelfde classificatie als voor incidenten wordt toegepast;
Mensen en middelen alloceren;
Onderzoek en diagnose uitvoeren;
Actie ondernemen:
Geplande wijziging: deze wordt verder opgenomen door wijzigingsbeheer;
Niet-geplande wijziging: deze wordt verder opgenomen door release en deployment beheer;
|
 | Alle maatregelen van Klasse 1 / Klasse 2 +
|
| |
PAS TOE OF LEG UIT | |
 | Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 +
|
 | Alle maatregelen van Klasse 1 / Klasse 2 + Klasse 3 + Klasse 4 +
|
Beschikbaarheid
IC klasse | Minimale maatregelen |
|---|---|
PAS TOE | |
  | Klasse 1 en Klasse 2 kennen dezelfde maatregelen:
|
   | Klasse 3, Klasse 4 en Klasse 5 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1/Klasse 2 +
|
4.6.2.2. Minimale specifieke (GDPR) maatregelen
Vertrouwelijkheid en integriteit
IC klasse | Minimale maatregelen |
|---|---|
 PAS TOE | |
 | Klasse 1,Klasse 2 en Klasse 3 kennen dezelfde maatregelen:
|
PAS TOE OF LEG UIT | |
 | Klasse 4 en Klasse 5 kennen dezelfde maatregelen: Alle maatregelen van Klasse 1 / Klasse 2 / Klasse 3 + Er moet steeds actie ondernomen worden door middel van een geplande (via wijzigingsbeheer) of niet-geplande (via release en deployment beheer) wijziging. |
Beschikbaarheid
Er zijn geen GDPR specifieke maatregelen gedefinieerd in het kader van beschikbaarheid.
4.6.2.3. Minimale specifieke (
...
NIS2) maatregelen
In afwachting van de goedkeuringen omtrent NISII is er in dit document alvast de nodige ruimte voorzien voor toekomstige minimale specifieke NISII-maatregelenNIS2 is een Europese richtlijn bedoeld om de cyberbeveiliging en weerbaarheid van kritieke diensten in EU-lidstaten te verbeteren.
Alle minimale algemene maatregelen worden verplicht toegepast (geen ‘leg uit’).
4.6.2.4. Minimale specifieke (KSZ) maatregelen
Er zijn geen KSZ specifieke maatregelen.